Android使用Https

最近有因为找工作去一些知名互联网公司面试，被问到好多Android基础，但是本人基础，渣渣。失败后决定要恶补自己的不足。

所以开了博客，从头开始。

总在CSDN上看张兴业的博客，很感谢。特此声明、

转载：http://blog.csdn.net/xyz_lmn/article/details/8803357

上面详细记载了，Https 的两种使用情况。

android中实现Https基本就这两种方式，一种是不验证证书，一种是有验证证书（预防钓鱼）。

本人很同意，首先不管我们是否采用Https进行防钓鱼的协议连接服务器，都要看用户是否主动去下载哪些非正规的app或者链接。

但是身为程序员，我们能做的就是尽自己的可能，完善安全机制。

现在我们来看看第一种的实现方式：（不验证证书）。

因为很多时候我们的https的服务器所使用的根证书，都是自签的，或者签名机构不在我们httpclient工具类的信任列表之中（也就是白名单），所以办法就只有两个，要不就是我们把服务器的根证书添加到httpclient的信任列表中，要不就是让httpclient信任所有的证书。

添加好信任列表很麻烦，而且出错率很高，所有在很多需要的场景下，采用后者，让httpclient信任所有证书。但是简单的同时，安全性肯定会下降的。鱼和熊掌不可兼得麽。

<span style="font-size:14px;">直接给代码：</span>

<span style="font-size:14px;">public class HttpsTestActivity extends Activity {
    /** Called when the activity is first created. */
	private TextView text;
    @Override
    public void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView(R.layout.main);
        text=(TextView)findViewById(R.id.textView1);
        GetHttps();
    }
    
    private void GetHttps(){
    	String https = "https://www.google.com.hk";//服务器指定的url地址
        try{
        	SSLContext sc = SSLContext.getInstance("TLS");
            sc.init(null, new TrustManager[]{new MyTrustManager()}, new SecureRandom());
            HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());
            HttpsURLConnection.setDefaultHostnameVerifier(new MyHostnameVerifier());
            HttpsURLConnection conn = (HttpsURLConnection)new URL(https).openConnection();
            conn.setDoOutput(true);
            conn.setDoInput(true);
            conn.connect();
            BufferedReader br = new BufferedReader(new InputStreamReader(conn.getInputStream())); 
            StringBuffer sb = new StringBuffer(); 
            String line; 
            while ((line = br.readLine()) != null) 
                sb.append(line);                
            text.setText(sb.toString());
           }catch(Exception e){
                Log.e(this.getClass().getName(), e.getMessage());
           }      
     }



      private class MyHostnameVerifier implements HostnameVerifier{
            @Override
            public boolean verify(String hostname, SSLSession session) {
                    // TODO Auto-generated method stub
                    return true;
            }

       }
</span><span style="font-size:10px;">//</span><span style="color: rgb(51, 51, 51); font-family: Verdana, Arial, Helvetica, sans-serif; line-height: 24px;"><span style="font-size:10px;">另外使用HttpsURLConnection时需要实现HostnameVerifier 和 X509TrustManager，这两个实现是必须的，要不会报安全验证异常。然后初始化X509TrustManager中的SSLContext，为javax.net.ssl.H//ttpsURLConnection设置默认的SocketFactory和HostnameVerifier。 </span><span style="font-size:14px;">                                            </span></span><span style="font-size:14px;">
       private class MyTrustManager implements X509TrustManager{
            @Override
            public void checkClientTrusted(X509Certificate[] chain, String authType)
                            throws CertificateException {
                    // TODO Auto-generated method stub  
            }
            @Override
            public void checkServerTrusted(X509Certificate[] chain, String authType)

                            throws CertificateException {
                    // TODO Auto-generated method stub    
            }
            @Override
            public X509Certificate[] getAcceptedIssuers() {
                    // TODO Auto-generated method stub
                    return null;
            }        

      }   
}</span>

另外有喜欢封装的同学，可以参考http://blog.csdn.net/123bobo/article/details/7264350/ 特定绑定服务器的接口。