通过https协议,客户端与服务端可以建立加密的通道,防止通讯被监听和篡改。但是,有时会遇到在访问一些网站时,提示连接不安全的警告,或者使用某种编程语法发起http请求时,出现异常。
https为什么会变得不安全了呢?这是因为网站的证书不是安全的,更准确的说是,证书不是由CA颁发的。CA是Certificate Authority的缩写,也叫证书授权中心。常用CA的根证书默认已经安装在操作系统里了,使用这些CA颁发的证书的网站,在访问时就不会出现安全警告。否则,就会出现前面的这种情况,最常见的就是我们自签名的证书,这也是许多开发者经常遇到的现象。
在搜索引擎里搜索解决方案时,得到的最多解决方法就是忽略证书的验证。如代码1所示,创建一个TrustStrategy的子类,使方法isTrusted直接返回true。
SSLContext sslContext = new SSLContextBuilder().loadTrustMaterial(null,
new TrustStrategy() {
// 信任所有
@Override
public boolean isTrusted(X509Certificate[] chain, String authType) {
return true;
}
}).build();
代码1