需求：做一個通過ssh免密登錄的需求，是基于原先密碼登錄sftp服務(wù)器的代碼上進行改造

1. 什么是SFTP

SFTP是一個安全文件傳送協(xié)議，可以為傳輸文件提供一種安全的加密方法。SFTP 為 SSH的一部份，是一種傳輸文件到服務(wù)器的安全方式。SFTP是使用加密傳輸認證信息和傳輸?shù)臄?shù)據(jù)，所以，使用SFTP是非常安全的。但是，由于這種傳輸方式使用了加密/解密技術(shù)，所以傳輸效率比普通的FTP要低得多，如果您對網(wǎng)絡(luò)安全性要求更高時，可以使用SFTP代替FTP。

2. 什么是Jsch以及它的作用

Jsch是一個純粹的用java實現(xiàn)SSH功能的java library。如果要知道Jsch的功能需先了解一下SSH。SSH是一個安全協(xié)議，用來在不同系統(tǒng)或者服務(wù)器之間進行安全連接，在連接和傳送數(shù)據(jù)的過程中會進行加密。SSH一般是基于客戶端的或者Linux命令行，比如window同過OpenSSH、putty等客戶端的工具，在linux上可以通過ssh username@host命令進行連接。但是如果在Java中如何實現(xiàn)SSH呢?這時候便是通過JSCH來實現(xiàn)此的功能。

3. Linux中配置SSH密鑰登錄

SSH 免密登錄可以讓用戶在不輸入密碼的情況下登錄遠程服務(wù)器，提高登錄效率和安全性

步驟：

1. 在本機中生成秘鑰，SSH有專門創(chuàng)建SSH密鑰的工具ssh-keygen 🚩

   - 生成舊版密鑰的命令：ssh-keygen -m PEM -t rsa
   - 生成新版密鑰命令：ssh-keygen -t rsa
   

   • passphrase：生成密鑰時的密碼
   • 執(zhí)行結(jié)束后，~/.ssh/目錄下會多兩個文件：id_rsa（私鑰）、id_rsa.pub（公鑰）

   id_rsa：私鑰
   id_rsa.pub：公鑰
   

2. 給目標服務(wù)器添加公鑰

   ssh-copy-id 用戶名@主機

   公鑰將被復(fù)制到目標服務(wù)器的~/.ssh/authorized_keys文件中。

   ssh-copy-id -p 19222 lihw@10.1.61.118
   

   或

   將公鑰ftp到目標服務(wù)器的.ssh后，cd ~/.ssh，手動將公鑰導(dǎo)入到authorized_keys信任列表：

   cat 公鑰 >> authorized_keys
   

3. 更新權(quán)限公鑰權(quán)限

   # 自此SSH免密登錄配置完成。
   chmod 644 authorized_keys
   

4. 配置服務(wù)器

   在目標服務(wù)器上使用文本編輯器打開SSH服務(wù)器的配置文件（通常為/etc/ssh/sshd_config）：

   sudo nano /etc/ssh/sshd_config
   

   確保以下配置選項的值為"yes"，如果不是，請進行相應(yīng)修改：

   RSAAuthentication yes
   PubkeyAuthentication yes
   

   保存修改并關(guān)閉配置文件。
   重新啟動SSH服務(wù)器以應(yīng)用更改：

   sudo service ssh restart
   

5. 測試使用密鑰登錄

   ssh -p 19222 lihw@10.1.61.118
   

4. sftp服務(wù)器認證機制

Jsch提供了四種認證機制：

• password 密碼方式
• publickey(DSA，RSA) 公私鑰方式
• keyboard-interactive
• gss-api-with-mic

其中publickey方式通過配置公私鑰實現(xiàn)SSH免密登錄，這里也只是簡單講一下它的使用。

5. publickey和password兩種方式登錄sftp的API調(diào)用

SSH公鑰檢查機制：

公鑰檢查機制是一個安全機制，可以防范中間人劫持等黑客攻擊。SSH連接遠程主機時，會檢查主機的公鑰。如果是第一次該主機，會顯示該主機的公鑰摘要，提示用戶是否信任該主機。當選擇接受，就會將該主機的公鑰追加到文件 ~/.ssh/known_hosts 中。當再次連接該主機時，就不會再提示該問題了。 但是在某些特殊的情況下，嚴格的SSH公鑰檢查可能會破壞一些依賴SSH協(xié)議的自動化任務(wù)如Java的Jsch免密登錄sftp程序。解決方式為調(diào)整StrictHostKeyChecking配置指令。StrictHostKeyChecking選項如下3種：

session.setConfig("StrictHostKeyChecking", "no/ask/yes👇");

• no 最不安全的級別，當然也沒有那么多煩人的提示了，相對安全的內(nèi)網(wǎng)測試時建議使用。如果連接server的key在本地不存在，那么就自動添加到文件中(默認是known_hosts)，并且給出一個警告。
• ask 默認的級別，就是出現(xiàn)剛才的提示了。如果連接和key不匹配，給出提示，并拒絕登錄。
• yes 最安全的級別，如果連接與key不匹配，就拒絕連接，不會提示詳細信息。

下面根據(jù)password來分析publickey方式與其區(qū)別：

• 原來password方式需要這樣一段代碼來設(shè)置密碼：session.setPassword (properties.getPassword ()); ，但是ssh key的方式就沒有password了，所以這段要刪掉。
• publickey需要設(shè)置我們的ssh私鑰文件的全路徑（privateKeyFile）：jsch.addIdentity (properties.getPrivateKeyFile ());
• 一般私鑰文件需要口令（passphrase）才能讀取，這需要設(shè)置一個配置類對象，在jsch里其實需要自己搞一個簡單的接口實現(xiàn)（如下：SftpAuthKeyUserInfo類 ），然后增加：session.setUserInfo(new SftpAuthKeyUserInfo (properties.getPassphrase ()));

6. 代碼可以如下改造：

1. 設(shè)置配置類對象

   SftpAuthKeyUserInfo.java

import com.jcraft.jsch.UserInfo;
import lombok.extern.slf4j.Slf4j;/*** ssh private key passphrase info*/
@Slf4j
public class UserInfoImpl implements UserInfo {/*** ssh private key passphrase*/private String passphrase;public UserInfoImpl (String passphrase) {this.passphrase = passphrase;}@Overridepublic String getPassphrase() {return passphrase;}@Overridepublic String getPassword() {return null;}@Overridepublic boolean promptPassphrase(String s) {return true;}@Overridepublic boolean promptPassword(String s) {return false;}@Overridepublic boolean promptYesNo(String s) {return true;}@Overridepublic void showMessage(String message) {log.info ("SSH Message:{}", message);}
}

1. 改造以適配publickey登錄方式

   try {JSch jsch = new JSch();session = jsch.getSession(sftpProperties.getUsername(),sftpProperties.getHost(), sftpProperties.getPort());if (sftpProperties.isCheckToHostKey()) {session.setConfig("PreferredAuthentications", "publickey");session.setConfig("userauth.gssapi-with-mic", "no");session.setConfig("StrictHostKeyChecking", "ask");session.setUserInfo(new SftpAuthKeyUserInfo(sftpProperties.getPassword()));jsch.addIdentity(sftpProperties.getKeyPath());} else {session.setConfig("PreferredAuthentications", "password");session.setConfig("StrictHostKeyChecking", "no");session.setPassword(sftpProperties.getPassword());}session.setConfig("UseDNS", "no");session.setConfig("kex", "diffie-hellman-group1-sha1,"+ "diffie-hellman-group-exchange-sha1,"+ "diffie-hellman-group-exchange-sha256");session.connect(sftpProperties.getConnectTimeout());channelSftp = (ChannelSftp) session.openChannel("sftp");channelSftp.connect();originalDir = channelSftp.pwd();} catch (Exception e) {disconnect();throw new IllegalStateException("failed to create sftp Client", e);}

1. properties為自定義sftp服務(wù)端配置：

package io.github.lihewei7.easysftp.config;import org.springframework.boot.context.properties.ConfigurationProperties;
import java.util.LinkedHashMap;/*** @explain: SFTP client configuration information* @author: lihewei
*/
@ConfigurationProperties("sftp")
public class SftpProperties {private String host = "localhost";private int port = 22;private String username;private String password = "";/*** Connection timeout.*/private int connectTimeout = 0;/*** Enable jsch log, Cannot be individually turned on or off for one of multiple hosts.*/private boolean enabledLog = false;/*** Whether to use a key to log in*/private Boolean isCheckToHostKey = false;/*** SSH kex algorithms.*/private String kex;/*** host key.*/private String keyPath;/*** Configuring multiple hosts.*/private LinkedHashMap<String,SftpProperties> hosts;public LinkedHashMap<String, SftpProperties> getHosts() {return hosts;}public void setHosts(LinkedHashMap<String, SftpProperties> hosts) {this.hosts = hosts;}public String getHost() {return host;}public void setHost(String host) {this.host = host;}public int getPort() {return port;}public void setPort(int port) {this.port = port;}public String getUsername() {return username;}public void setUsername(String username) {this.username = username;}public String getPassword() {return password;}public void setPassword(String password) {this.password = password;}public boolean isEnabledLog() {return enabledLog;}public void setEnabledLog(boolean enabledLog) {this.enabledLog = enabledLog;}public int getConnectTimeout() {return connectTimeout;}public void setConnectTimeout(int connectTimeout) {this.connectTimeout = connectTimeout;}public Boolean isCheckToHostKey() {return isCheckToHostKey;}public void setCheckToHostKey(Boolean checkToHostKey) {isCheckToHostKey = checkToHostKey;}public String getKex() {return kex;}public void setKex(String kex) {this.kex = kex;}public String getKeyPath() {return keyPath;}public void setKeyPath(String keyPath) {this.keyPath = keyPath;}
}