Android如何使用Https

最新推荐文章于 2023-10-11 14:18:23 发布
最新推荐文章于 2023-10-11 14:18:23 发布
阅读量883 收藏
点赞数 1
分类专栏: Android开发交流 文章标签: 网络 java android 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_22863121/article/details/52931952
版权

NoHttp是专门做Android网络请求与下载的框架。

这一篇文章是NoHttp系列中比较重要的,为大家介绍一下内容:

什么是Https?

  HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。它是一个URI Scheme(抽象标识符体系),句法类同Http:体系。用于安全的HTTP数据传输。Https:URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个系统的最初研发由网景公司(NetScape)进行,并内置于其浏览器Netscape Navigator中,提供了身份验证与加密通讯方法。现在它被广泛用于万维网上安全敏感的通讯,例如金融、网购等涉及支付的领域。
  
这次不装逼,我们来个深入浅出,先说最原始的Https,再说框架怎么框架怎么一句话使用Https

Android用原始Java代码怎么用Https

  先普及一下Android怎么用最原始java代码请求网络,大神请掠过。
  Android用Java开发,Java自带的http API有HttpURLConnection,Android系统又加上了Apache Httpclient,加上后来HttpClient在SDK中被Google删除,所以我们也不推荐使用HttpClient来做网络请求了,所以在这里呢也只给列出HttpURLConnection的方式。

第一步:打开某个地址的连接

  这里咱打开我的博客地址,用GET方法请求

URL url = new URL("http://blog.csdn.net/yanzhenjie1003");
HttpURLConnection urlConnection = (HttpURLConnection) url.openConnection();
urlConnection.setRequestMethod("GET");

第二步:判断是Https请求,设置SSLSocketFactory

  如果是Https请求,那么做安全校验等操作,这里设置SSLSokcetFactory,这里有两种方法,一种是包涵Https证书的,一种是没有证书直接允许Https请求的,而证书不证书就是从SSLContext中来的:

// 设置SSLSocketFoactory,这里有两种:1.需要安全证书 2.不需要安全证书;看官且往下看
if (urlConnection instanceof HttpsURLConnection) { // 是Https请求
    SSLContext sslContext = SSLContextUtil.getSSLContext();
    if (sslContext != null) {
        SSLSocketFactory sslSocketFactory = sslContext.getSocketFactory();
        ((HttpsURLConnection) urlConnection).setSSLSocketFactory(sslSocketFactory);
    }
}

  那么SSLContext怎么生成呢,哈哈先不急,咱们先把这个请求的流程走完,证书的加载往后边看哦。

第三步:设置必要属性

// 设置属性
urlConnection.setConnectTimeout(8 * 1000);
urlConnection.setReadTimeout(8 * 1000);

第四步:读取数据,发送到主线程,断开连接

int responseCode = urlConnection.getResponseCode();
if (responseCode == 200) { // 请求成功
    InputStream inputStream = urlConnection.getInputStream();
    // 读取结果,发送到主线程
    ...
    inputStream.close();
}
urlConnection.disconnect();

完整代码

URL url = new URL("http://blog.csdn.net/yanzhenjie1003");
HttpURLConnection urlConnection = (HttpURLConnection) url.openConnection();
urlConnection.setRequestMethod("GET");

// 设置SSLSocketFoactory,这里有两种:1.需要安全证书 2.不需要安全证书;看官且往下看
if (urlConnection instanceof HttpsURLConnection) { // 是Https请求
    SSLContext sslContext = SSLContextUtil.getSSLContext();
    if (sslContext != null) {
        SSLSocketFactory sslSocketFactory = sslContext.getSocketFactory();
        ((HttpsURLConnection) urlConnection).setSSLSocketFactory(sslSocketFactory);
    }
}

// 设置属性
urlConnection.setConnectTimeout(8 * 1000);
urlConnection.setReadTimeout(8 * 1000);

int responseCode = urlConnection.getResponseCode();
if (responseCode == 200) { // 请求成功
    InputStream inputStream = urlConnection.getInputStream();
    // 读取结果,发送到主线程
    ...
    inputStream.close();
}
urlConnection.disconnect();


这样就完成整个请求,其实Android请求网络就这么点代码,然后我们再写完善一点,然后封装写参数,容错什么的,就是一个小框架啦。是不是很简单呢?

使用流行框架NoHttp怎么玩Https

  用NoHttp不要太简单,什么传参数、传文件、下载之类的,基本都是一两句话就搞定。

Request request = NoHttp.createStringRequest(url, RequestMethod.POST);

// 注意这里设置SSLSokcetFactory的代码是相同的
SSLContext sslContext = SSLContextUtil.getSSLContext();
if (sslContext != null) {
    SSLSocketFactory socketFactory = sslContext.getSocketFactory();
    httpsRequest.setSSLSocketFactory(socketFactory);
    requestQueue.add(0, request, httpListener);//  添加到请求队列,等待接受结果
}

  我们注意到上面设置Socket的代码是相同的,剩下的就是一句话new一个请求对象就完事。是不是比原生的还要简单啊?

  这个框架叫NoHttp,是一个Android开源网络框架。

SSLSocketFactory对象怎么来

  上面不论是纯Android代码还是NoHttp框架都用到了SSLContext,这家伙呢就是负责证书管理和信任管理器的,我们说Https可以有证书也可以没有证书,我们来看这两种情况。

有安全证书的SSLContext

我们把Https的证书放在assets目录下,然后通过流加载:

public static SSLContext getSSLContext() {
    // 生成SSLContext对象
    SSLContext sslContext = SSLContext.getInstance("TLS");
    // 从assets中加载证书
    InputStream inStream = Application.getInstance().getAssets().open("srca.cer");

    // 证书工厂
    CertificateFactory cerFactory = CertificateFactory.getInstance("X.509");
    Certificate cer = cerFactory.generateCertificate(inStream);

    // 密钥库
    KeyStore kStore = KeyStore.getInstance("PKCS12");
    kStore.load(null, null);
    kStore.setCertificateEntry("trust", cer);// 加载证书到密钥库中

    // 密钥管理器
    KeyManagerFactory keyFactory = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
    keyFactory.init(kStore, null);// 加载密钥库到管理器

    // 信任管理器
    TrustManagerFactory tFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
tFactory.init(kStore);// 加载密钥库到信任管理器

    // 初始化
    sslContext.init(keyFactory.getKeyManagers(), tFactory.getTrustManagers(), new SecureRandom());
    return sslContext;
}

  需要强调的是,最后一句中的new SecureRandom()在Android4.4之前的系统中有Bug。
  

修复Android系统中SecureRandom的Bug

  Android 4.4之前版本的Java加密架构(JCA)中使用的Apache Harmony 6.0M3及其之前版本的SecureRandom实现存在安全漏洞,具体位于classlib/modules/security/src/main/java/common/org/apache/harmony/security/provider/crypto/SHA1PRNG_SecureRandomImpl.java文件的engineNextBytes()方法里。当用户没有提供用于产生随机数的种子时,程序不能正确调整偏移量,导致伪随机数生成器(PRNG)生成随机序列的过程可被预测。
   But值得高兴的NoHttp内部已经fix了这一bug,如果大家要自己写框架,恐怕要写很多代码去修复这个问题啦,所以推荐各位看官还是使用NoHttp。
   

没有安全证书的SSLContext

  上面看到需要需要安全证书的生成SSLContext就可以了,然后不需要证书的请求,需要两个对象,一个是SSLContext(上面已经解释过了);另一个是HostnameVerifier,顾名思义就是主机名称匹配的意思,我们看代码。

public static SSLContext getSLLContext() {
    SSLContext sslContext = null;
    try {
        sslContext = SSLContext.getInstance("TLS");
        sslContext.init(null, new TrustManager[]{new X509TrustManager() {
            @Override
            public void checkClientTrusted(X509Certificate[] chain, String authType)  {}

            @Override
            public void checkServerTrusted(X509Certificate[] chain, String authType) {}

            @Override
            public X509Certificate[] getAcceptedIssuers() {
                return new X509Certificate[0];
            }
        }}, new SecureRandom());
    } catch (Exception e) {
        e.printStackTrace();
    }
    return sslContext;
}

  就这么简单,只需要传一个null证书管理器喝一个默认的信任管理器即可。
  下面再来看HostnameVerifier,既然是主机名称校验,那我们直接通过: 

private static HostnameVerifier hostnameVerifier = new HostnameVerifier() {
    @Override
    public boolean verify(String hostname, SSLSession session) {
        return true;
    }
};


  这个怎么用呢?Android原生代码用法中,获取SSLContext的方法名不一样,多了setHostnameVerifier,其它跟有安全证书的使用一致:

URL url = new URL("http://blog.csdn.net/yanzhenjie1003");
HttpURLConnection urlConnection = (HttpURLConnection) url.openConnection();
urlConnection.setRequestMethod("GET");

// 设置SSLSocketFoactory,这里有两种:1.需要安全证书 2.不需要安全证书;看官且往下看
if (urlConnection instanceof HttpsURLConnection) { // 是Https请求
    SSLContext sslContext = SSLContextUtil.getSSLContext();
    if (sslContext != null) {
        SSLSocketFactory sslSocketFactory = sslContext.getSLLContextNoCertificate();
        ((HttpsURLConnection) urlConnection).setSSLSocketFactory(sslSocketFactory);
        ((HttpsURLConnection) urlConnection).setHostnameVerifier(SSLContextUtil.hostnameVerifier);
    }
}

// 设置属性
urlConnection.setConnectTimeout(8 * 1000);
urlConnection.setReadTimeout(8 * 1000);

int responseCode = urlConnection.getResponseCode();
if (responseCode == 200) { // 请求成功
    InputStream inputStream = urlConnection.getInputStream();
    // 读取结果,发送到主线程
    ...
    inputStream.close();
}
urlConnection.disconnect();

NoHttp用法,代码和上边的NoHttp加载证书的一样,多了一句setHostnameVerifier的: 
Request request = NoHttp.createStringRequest(url, RequestMethod.POST);

SSLContext sslContext = SSLContextUtil.getSSLContext();
if (sslContext != null) {
    SSLSocketFactory socketFactory = sslContext.getSLLContextNoCertificate();
    httpsRequest.setSSLSocketFactory(socketFactory);
    httpsRequest.setHostnameVerifier(SSLContextUtil.hostnameVerifier);
    requestQueue.add(0, request, httpListener);//  添加到请求队列,等待接受结果
}


小小果农
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
android采用Https的解决方案,Android使用https
weixin_42538470的博客
05-25 3077
前言HI,欢迎来到裴智飞的《每周一博》。今天是九月第三周,我给大家介绍一下安卓如何使用https。HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。为了解决HTTP协议的这一缺陷...
Android使用Https访问Demo
01-19
Android使用Https协议访问,一个简单的小demo,很清楚的描述了Https的访问过程
Android Https的详解
ruanyandong的博客
09-20 3924
Https的通信过程 两种加密 加密方式分两种,对称加密和非对称加密。这两种方式都有自己的优劣势, https中这两种方式都采用了。 我们约定S是服务端,C是客户端,客户端需要从服务端获取信息; 对称加密 这种加密方式比较简单,就是双方都持有密匙。S和C都持有密匙, S通过密匙加密明文传递给C,C获取加密后的信息,用密匙解密信息。 优势: 加密速度快 劣势: 密匙的传递是个问题,容易被截取,密匙一旦被截取后, 就能轻易破解信息。 常见的对称加密算法有DES、3DES、TDEA、Blowfish、RC5
HttpUrlConnection的简单使用
Grace_er的博客
03-19 245
package com.wzq.httpurlconnection; import android.graphics.Bitmap; import android.graphics.BitmapFactory; import android.util.Log; import java.io.BufferedReader; import java.io.IOException; import jav...
android Https使用及双向验证证书
jiushi1995的博客
02-24 3740
一、 Https 简介 1、 什么是Https? 简单来说, HTTPS = HTTP + SSL/TLS协议。 HTTP是应用层协议,TCP是传输层协议,在应用层和传输层之间,增加了一个安全套接层SSL/TLS 2. HTTPS加密方式(SSL/TLS 加密方式) SSL加密使用了对称加密及非对称加密的方式。在数据传输过程中,使用对称加密方式加密数据。使用非对称加密方式加密对称加密算法的密钥。 使用两种加密方式的原因:非对称加密拥有公,私两种密钥,加密及解密的算法不同,更安全,但在加密解密的
HTTPS 原理浅析及其在 Android 中的使用
2301_78145669的博客
06-12 1202
在App中,把服务端证书放到资源文件下(通常是asset目录下,因为证书对于每一个用户来说都是相同的,并且也不会经常发生改变),但是也可以放在设备的外部存储上。// 在这里进行服务器正式的名称的配置@Overridei++) {try {try {复制@Overridetry {try {复制。
Android使用Https查询手机号码归属地
04-29
Android使用Https通过淘宝接口查询手机号码归属地,返回Json格式信息。
Android项目中使用HTTPS配置的步骤详解
08-30
主要给大家介绍了关于Android项目中使用HTTPS配置步骤的相关资料,文中介绍的非常详细,对大家具有一定的参考学习价值,需要的朋友们下面来一起看看吧。
Android Fragment使用
03-18
Android Fragment使用,博客地址:https://blog.csdn.net/dreams_deng/article/details/104638596
android https demo
10-21
android https demo,在android 客户端使用https请求
Android实现https网络访问
05-20
Android实现https网络访问,四种实现方式:1、客户端添加指定信任cer证书。2、客户端信任所有证书。3、HttpClient方式实现,支持所有Https免验证方式链接(与2类似,只不过采用HttpClient方式实现)。4、HttpClient方式实现,支持验证指定证书(与1类似,只不过采用HttpClient方式实现)
Android Https解析!
walk的博客
09-05 1395
一、Https基础 1、Http的缺点 1)、通信报文是明文,内容容易被窃听 2)、没有通信方的身份,通信方容易被伪装 3)、无法验证报文的完整性,因此内容可能已经被更改 2、Https可以解决上面缺点。Https就是Http+ssl。Http直接和tcp通信,Https是和ssl通信,ssl和tcp通信。ssl是独立于ht...
Android Studio的笔记--HttpsURLConnection使用POST请求
weixin_45208598的博客
10-11 1028
HttpsURLConnection POST ,https post请求示例,根据指定url和令牌访问并拿到返回值
androidhttps的证书验证(SSL证书)
WalterZhou的博客
03-08 2520
1. 背景与需求 近期在做IP切换的HTTPS访问时,遇到了一些问题:客户端如何进行HTTPS的证书验证。 其实对于一般的项目基本都是做的单向验证,即在客户端证书或者HOST的验证;对于金融、银行相关的项目才会使用的双向验证,客户端与服务端之间都要对彼此进行验证,以防止中间人进行攻击。 2.实现目标 本文记录的是:客户端实现对HOST的验证,这样基本满足一般项目的需求,也不需要客户端内置证书...
HTTPS理论基础及其在Android中的最佳实践
热门推荐
孙群
06-09 3万+
我们知道,HTTP请求都是明文传输的,所谓的明文指的是没有经过加密的信息,如果HTTP请求被黑客拦截,并且里面含有银行卡密码等敏感数据的话,会非常危险。为了解决这个问题,Netscape 公司制定了HTTPS协议,HTTPS可以将数据加密传输,也就是传输的是密文,即便黑客在传输过程中拦截到数据也无法破译,这就保证了网络通信的安全。密码学基础在正式讲解HTTPS协议之前,我们首先要知道一些密码学的知识
Android 网络编程之HTTPS详解
Android技术之家
07-26 387
前言:HTTPS涉及相关的知识,总是很难的将其归纳总结起来,本文旨在带你学习详细的HTTPS相关知识点,看完本文后,你会了解到以下相关知识点;HTTPS的工作原理HTTPS为什么要这样设...
Android HTTPS详解
小一的专栏
09-15 6415
前言 最近有一个跟Https相关的问题需要解决,因此花时间学习了一下Android平台Https使用,同时也看了一些Https的原理,这里分享一下学习心得。 HTTPS原理 HTTPS(Hyper Text Transfer Protocol Secure),是一种基于SSL/TLS的HTTP,所有的HTTP数据都是在SSL/TLS协议封装之上进行传输的。HTTPS协议是在HTTP
Android使用https连接
赵昕彧
11-24 1922
一.简述 在Android使用https连接时,有多种方法,一般可以在发起https连接之前将服务器证书加到信任证书列表中,也可以直接信任所有证书,这种方法相对简单。本文用于测试,所以使用后者。 二.代码 1.添加https配置 private class MyTrustManager implements X509TrustManager { @Override public void checkClientTrusted(X509Certificate[] chain,
AndroidHTTPS部署自签名证书
#请假条的博客
02-14 1531
Android 作为客户端https 通信,通常需要一个SSLContext, SSLContext 需要配置一个 TrustManager,如果是双向通信,还需要一个KeyManager。KeyManager 负责提供证书和私钥,证书发给服务端校验。双向认证 TrustManager + KeyManager。TrustManager 负责校验服务端发来的证书。单向认证 TrustManager。二、Android 客户端的配置。一、生成自签名私有证书。
android webview https ssl
最新发布
10-29
要在Android WebView中使用SSL,需要采取以下步骤: 1. 配置WebView设置:在代码中,我们可以通过设置WebView的WebSettings对象来启用JavaScript和SSL,以便加载HTTPS网页。可以使用以下代码进行设置: ``` ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值