Android+OkHttp3+Golang(Gin)+OpenSSL单双向校验(四)

最新推荐文章于 2023-08-14 13:35:00 发布
最新推荐文章于 2023-08-14 13:35:00 发布
阅读量418 收藏 2
点赞数
分类专栏: Go Android 数据安全系列
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ALakers/article/details/108354342
版权
Go 同时被 3 个专栏收录
35 篇文章 2 订阅
订阅专栏
Android
14 篇文章 0 订阅
订阅专栏
数据安全系列
7 篇文章 1 订阅
订阅专栏

Golang双向校验

服务端

服务端需要校验客户端的证书,代码如下:

package main

import (
	"crypto/tls"
	"crypto/x509"
	"github.com/gin-gonic/gin"
	"github.com/unrolled/secure"
	"io/ioutil"
)


func TlsHandler() gin.HandlerFunc {
	return func(c *gin.Context) {

		secureMiddleware := secure.New(secure.Options{
			SSLRedirect: true,
			SSLHost:     "localhost:8081",
		})

		err := secureMiddleware.Process(c.Writer, c.Request)

		if err != nil {
			c.Abort()
			return
		}
		if status := c.Writer.Status(); status > 300 && status < 399 {
			c.Abort()
		}
		c.Next()
	}
}

func Android(context *gin.Context){
	context.JSON(200,gin.H{
		"message":"data",
	})
}


func generateConfig()(config *tls.Config,err error){
	pool := x509.NewCertPool()
	caCertPath := "F:\\test\\ca.crt"

	caCrt, err := ioutil.ReadFile(caCertPath)
	if err != nil {
		return
	}
	pool.AppendCertsFromPEM(caCrt)

	config = &tls.Config{
		ClientCAs: pool,
		ClientAuth: tls.RequireAndVerifyClientCert,
	}
	return
}

func StartServer(){

	config,err:=generateConfig()
	if err!=nil{
		return
	}

	r := gin.Default()
	r.Use(TlsHandler())
	r.GET("/android",Android)

	r.RunTLSWithConfig(":8081", "F:\\test\\server.crt", "F:\\test\\server.key",config)

}

func main() {

	StartServer()

}

结果:
启动浏览器进行访问,会无法访问
在这里插入图片描述
同时服务端打印了错误日志:
在这里插入图片描述
浏览器这条路是走不通了,只能自己发请求并带上受信任的证书

客户端

代码如下:

package main

import (
	"crypto/tls"
	"crypto/x509"
	"fmt"
	"io/ioutil"
	"net/http"
)

func addTrust(pool*x509.CertPool, path string) {
	aCrt, err := ioutil.ReadFile(path)
	if err!= nil {
		fmt.Println("ReadFile err:",err)
		return
	}
	pool.AppendCertsFromPEM(aCrt)
}

func TwoWaySSlCheck(){
	pool := x509.NewCertPool()
	// 这里加载服务端提供的证书,用于校验服务端返回的数据
	addTrust(pool,"F:\\test\\ca.crt")
	// 这里加载客户端自己的证书,要与提供给服务端的证书一致,不然服务端校验会不通过
	cliCrt, err := tls.LoadX509KeyPair("F:\\test\\server.crt", "F:\\test\\server.key")
	if err != nil {
		fmt.Println("Loadx509 keypair err:", err)
		return
	}
	tr := &http.Transport{
		TLSClientConfig: &tls.Config{
			RootCAs:      pool,
			Certificates: []tls.Certificate{cliCrt},
		},
	}
	client := &http.Client{Transport: tr}
	resp, err := client.Get("https://lance.com:8081/android")
	if err != nil {
		fmt.Println("Get error:", err)
		return
	}
	defer resp.Body.Close()
	body, err := ioutil.ReadAll(resp.Body)
	fmt.Println(string(body))
}

func main(){
	TwoWaySSlCheck()
}

结果如下:
在这里插入图片描述
正常访问,同时服务端也没有错误信息,说明这个双向校验成功了!!!


Android与服务器进行双向校验

服务端不用做改动,只需要Android端在握手时提供证书,本次双向检验新建一个HttpsUtil.java文件,用来存放双向校验的代码:

HttpsUtil.java代码如下:

package com.example.safeapp.sslfactory;

import android.content.Context;

import java.io.IOException;
import java.io.InputStream;
import java.security.KeyManagementException;
import java.security.KeyStore;
import java.security.KeyStoreException;
import java.security.NoSuchAlgorithmException;
import java.security.UnrecoverableKeyException;
import java.security.cert.CertificateException;
import java.security.cert.X509Certificate;

import javax.net.ssl.HostnameVerifier;
import javax.net.ssl.KeyManagerFactory;
import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLSession;
import javax.net.ssl.SSLSocketFactory;
import javax.net.ssl.TrustManagerFactory;
import javax.net.ssl.X509TrustManager;
public class HttpsUtil {

    private final static String CLIENT_PRI_KEY = "client.bks";
    private final static String TRUSTSTORE_PUB_KEY = "ca.bks";
    private final static String CLIENT_BKS_PASSWORD = "123456";
    private final static String TRUSTSTORE_BKS_PASSWORD = "123456";
    private final static String KEYSTORE_TYPE = "BKS";
    private final static String PROTOCOL_TYPE = "TLS";
    private final static String CERTIFICATE_STANDARD = "X509";

    public static SSLSocketFactory getSSLCertifcation(Context context) {

        SSLSocketFactory sslSocketFactory = null;
        try {

            // 服务器端需要验证的客户端证书,其实就是客户端的keystore
            KeyStore keyStore = KeyStore.getInstance(KEYSTORE_TYPE);
            // 客户端信任的服务器端证书
            KeyStore trustStore = KeyStore.getInstance(KEYSTORE_TYPE);

            //读取证书
            InputStream ksIn = context.getAssets().open(CLIENT_PRI_KEY);
            InputStream tsIn = context.getAssets().open(TRUSTSTORE_PUB_KEY);

            //加载证书
            keyStore.load(ksIn, CLIENT_BKS_PASSWORD.toCharArray());
            trustStore.load(tsIn, TRUSTSTORE_BKS_PASSWORD.toCharArray());
            ksIn.close();
            tsIn.close();

            TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(CERTIFICATE_STANDARD);
            KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(CERTIFICATE_STANDARD);
            trustManagerFactory.init(trustStore);
            keyManagerFactory.init(keyStore, CLIENT_BKS_PASSWORD.toCharArray());

            //初始化SSLContext
            SSLContext sslContext = SSLContext.getInstance(PROTOCOL_TYPE);
            sslContext.init(keyManagerFactory.getKeyManagers(), trustManagerFactory.getTrustManagers(), new java.security.SecureRandom());

            sslSocketFactory = sslContext.getSocketFactory();

        } catch (KeyStoreException e) {
            e.printStackTrace();
        } catch (IOException e) {
            e.printStackTrace();
        } catch (CertificateException e) {
            e.printStackTrace();
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
        } catch (UnrecoverableKeyException e) {
            e.printStackTrace();
        } catch (KeyManagementException e) {
            e.printStackTrace();
        }
        return sslSocketFactory;
    }

    public static class  UnSafeHostnameVerifier implements HostnameVerifier
    {
        @Override
        public boolean verify(String hostname, SSLSession session)
        {
            return true;
        }
    }

    public static class UnSafeTrustManager implements X509TrustManager
    {
        @Override
        public void checkClientTrusted(X509Certificate[] chain, String authType)
        {

        }

        @Override
        public void checkServerTrusted(X509Certificate[] chain, String authType)
        {

        }

        @Override
        public X509Certificate[] getAcceptedIssuers()
        {
            return new X509Certificate[]{};
        }
    }
}

HttpsRequest.java中稍微改动一下:

OkHttpClient mOkhttpClient = new OkHttpClient().newBuilder()
                .sslSocketFactory(
                        HttpsUtil.getSSLCertifcation(context),
                        new HttpsUtil.UnSafeTrustManager()
                )

                .hostnameVerifier(new HttpsUtil.UnSafeHostnameVerifier())//由于还没有域名,此处设置忽略掉域名校验
                .build();

结果如下:
在这里插入图片描述
至此双向校验完成!!!!

抓包欣赏一下

请添加图片描述
请添加图片描述
请添加图片描述
Emmmmm,完美!!!
查阅资料,发现只是实现了弱校验,后续在跟进,详情请参考:https://www.cnblogs.com/alisecurity/p/5939336.html

Time-Traveler
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTTPS双向验证
qq_40979609的博客
07-06 1684
HTTPS双向验证在实际项目中的应用目录HTTPS实际应用场景双向验证在Springboot中的配置证书简介绍自签生成客户端服务端证书插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 目录 HTTPS实际应用场景 https双向验证原理,请自行查找,简来说,服务端与客户端交互式时,要对客
Android+OkHttp3+Golang(Gin)+OpenSSL双向校验(三)
ALakers的博客
09-03 285
Android 校验
双向验证
韩梦飞沙_韩亚飞
07-27 213
作者:韩梦飞沙 QQ:313134555 双向验证_百度搜索
Android+OkHttp3+Golang(Gin)+OpenSSL双向校验(二)
ALakers的博客
09-01 508
Golang gin 搭建https服务 我把证书放在了F:\test\目录下 package main import ( "github.com/gin-gonic/gin" "github.com/unrolled/secure" ) func TlsHandler() gin.HandlerFunc { return func(c *gin.Context) { secureMiddleware := secure.New(secure.Options{ SSLRedirect
https双向校验拉升通信安全性
懒人日志
09-14 1213
 APP和服务器的安全十分重要,服务器端https证书可以防止钓鱼网站假冒服务器和客户端通信,盗取用户帐号信息和骗财。客户端https证书可以防止别人假冒客户端破解服务器端通信协议,盗取服务器端数据,比如爬虫就十分讨厌。双向验证,如果再对通信的核心字段使用RSA或者DES/AES加密,就可以保证APP和服务足够安全,并能防御各种代理攻击。   package com.xxx.api; im...
RxHttp:对RxJava2+Retrofit2+OkHttp3的封装
05-28
RxHttp对RxJava2+Retrofit2+OkHttp3的封装,优雅实现接口请求和文件下载功能简介网络请求(RxRequest)支持监听请求声明周期,如开始结束和网络错误支持多BaseUrl,可针对不同请求重定向支持针对不同请求设置不同...
Android】RxJava2+Retrofit2+OkHttp3的基础、封装和项目中的使用
11-29
Android开发中,Retrofit2、RxJava2和OkHttp3是三个非常重要的库,它们共同构建了一个高效、灵活的网络请求框架。本篇文章将深入探讨这三个组件的基础知识,以及如何进行封装和在实际项目中使用。 首先,Retrofit...
android登录UI+OKhttp3
07-17
本项目“android登录UI+OKhttp3”聚焦于这两点,旨在创建一个完整的登录界面,并利用OKHttp3库来处理网络请求,同时引入了EventBus框架进行事件通信。下面将详细介绍这些知识点。 首先,登录界面UI(User Interface...
Android整合搭建RxJava+Retrofit+LiveData+OkHttp框架实现MVVM模式开发
01-14
工程目录说明: base:基础类库。 exception:异常类模块。 ... ...model:数据模型,实体类定义。...repository:数据仓库,包括网络接口请求数据,sqlite数据库,文件File存储,SharedPreferences数据存储。...
Android 基于 Retrofit2+Okhttp3 通过SOAP协议请求WebService
01-20
本教程将重点讲解如何利用Retrofit2和OkHttp3这两个强大的库来实现Android应用通过SOAP协议请求Web Service。 Retrofit是由Square公司开发的一款Type-Safe HTTP客户端,它允许开发者用Java注解来描述HTTP请求,使得...
Android+OkHttp3+Golang(Gin)+OpenSSL双向校验(一)
ALakers的博客
08-31 450
to be continued…
ginx结合openssl实现https
weixin_30871293的博客
09-20 176
[root@localhost ~]# rz -E //导入jdk源码包 z waiting to receive.**B0100000023be50 [root@localhost ~]# tar xf jdk-8u191-linux-x64.tar.gz [root@localhost ~]# ls anaconda...
给安卓OKHTTP库添加HTTPS证书验证
不会前端的安卓不是好JAVA工程师
11-05 5184
网传的使用sslSocketFactory方法的验证方式已经过时了,因为使用这个方法会使用反射机制寻找X509信任管理类,消耗了不必要的性能。 新的方法名称依然叫sslSocketFactory,但是会传入信任管理类数组中的第一条,这个博主已在OKHTTP的GITHUB样例源码中求证,请各位放心使用~ 这里放上博主封装的工具,支持传入字符串证书、传入RAW资源目录下的证书、批量添加证书和信任所...
Android OkHttp进行向证书校验双向的需要服务端也配置证书)
蓝色的天空的博客
05-31 2784
1.获取跟域名的证书文件 例如接口服务域名是 https://www.baidu.com/ 按照以下步骤导出证书信息,选择base64格式的.cer文件,用文本编辑器打开,复制证书信息 2.编写代码配置 // 证书信息进行缩减 private String CER_BAIDU = "xxxxxxxxxx"; //设置安全证书 public void setSafeOkHttpClient(OkHttpClient.Builder okhttpBuilder) { try {
android okhttp3 配置https证书
hhbbeijing的专栏
12-05 2805
一、写在前面,客户端的证书,一般是由服务端提供的,我们来认识一下: ca.crt :服务端证书 client.crt :客户端证书 client.key :客户端证书秘钥 ca.crt就是我们客户端向验证时使用的证书, 那么client.crt和client.key就应该是双向验证用到的bks了,于是重点就是他们间的转换了 准备工作,我们用到两个工具: openssl:证书格式转换及秘钥获取 下载地址:https://download.csdn.net/...
Android okhttp3 SSL握手底层实现追踪
@毛宏斌
11-17 5250
对于https,在tcp三次握手后就会进行ssl的握手,ssl握手的详细过程网上介绍的很多。下面跟踪下okhttp3对于ssl握手的实现过程。需求决定android版本4.4.4,所以还是opensslokhttp3.2.0。 openssl代码:https://android.googlesource.com/platform/external/openssl.git okhttp3代码:h
OkHttp完全解析(五)HTTPS
OyangYujun的专栏
11-25 6799
OkHttp试图平衡连个相互竞争的问题:    尽可能多的主机连接: 包括运行最新版boringssl的高级主机和运行老版OpenSSL的陈旧主机。    连接的安全性: 通过证书进行远程web服务器验证和通过强加密保证数据交换的私密性。 当与一个HTTPS服务器进行协商时, OkHttp需要知道应当提供哪个版本的TLS和加密路线。一个想要使连接最大化的客户端可能包含陈旧的TLS版本,以及设
Go语言Gin框架使用HTTPS以及安全认证
最新发布
浮尘笔记
08-14 1748
HTTPS和HTTP的主要区别:1、https协议需要到CA申请证书,一般免费证书较少,因而需要一定费用。2、http是超文本传输协议,信息是明文传输,https则是具有安全性的ssl/tls加密传输协议。3、http的连接很简,是无状态的;HTTPS协议是由SSL/TLS+HTTP协议构建的可进行加密传输,身份认证的网络协议,比http协议安全。
golang http请求封装
小码农的博客
08-09 6144
在GOPATH 中创建 utils 文件夹 放置这两个文件 http.go package utils import ( "crypto/tls" "encoding/json" "errors" "fmt" "io/ioutil" "net/http" "net/url" "string
Android retrofit+okhttp+rxjava例子
04-26
好的,您可以参考以下代码: ```java //创建Retrofit实例,设置BaseUrl和OkHttpClient Retrofit retrofit = new Retrofit.Builder() ... .client(new OkHttpClient.Builder().build()) .addConverterFactory...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值