android Https的使用及双向验证证书

最新推荐文章于 2024-07-02 13:38:49 发布
最新推荐文章于 2024-07-02 13:38:49 发布
阅读量4.1k 收藏 13
点赞数 3
分类专栏: Android 文章标签: android https 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiushi1995/article/details/114021074
版权

一、 Https 简介

1、 什么是Https?

简单来说, HTTPS = HTTP + SSL/TLS协议。 HTTP是应用层协议,TCP是传输层协议,在应用层和传输层之间,增加了一个安全套接层SSL/TLS

0

2. HTTPS加密方式(SSL/TLS 加密方式)

SSL加密使用了对称加密及非对称加密的方式。在数据传输过程中,使用对称加密方式加密数据。使用非对称加密方式加密对称加密算法的密钥。

使用两种加密方式的原因:非对称加密拥有公,私两种密钥,加密及解密的算法不同,更安全,但在加密解密的速度上比较耗时。而对称加密相反,对称加密方式,加密算法与解密算法相同,且加密解密的密钥也都相同,但相对的,加密解密的速度上会更快。所以用非对称算法加密对称算法的密码,用对称算法加密传输的数据,使得在安全及速度上相对都实现了最大化

3. HTTPS通信的流程

http 三次握手后,SSL/TLS建立客户端和服务器之间的加解密算法协商、密钥交换、通信连接及安全连接,之后进行加密数据的传输,后四次挥手断开连接

二、 Android中如何使用Https

1. 自带的HttpsURLConnection配置写法

try {
    URL url1 = new URL(url);
    HttpsURLConnection connection = (HttpsURLConnection) url1.openConnection();
    // 初始化SSLContext
    SSLContext sslContext = SSLContext.getInstance("TLS");
    // 使用系统默认的客户端密钥库验证做单向验证
    TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
    trustManagerFactory.init((KeyStore)null);
    // null 为不需要服务端验证客户端的证书,new SecureRandom()生成的随机数
    sslContext.init(null ,trustManagerFactory.getTrustManagers(),new SecureRandom());
    connection.setSSLSocketFactory(sslContext.getSocketFactory());
    // 设置验证自定义主机名,可以不写使用默认的
    connection.setHostnameVerifier(new HostnameVerifier() {
        @Override
        public boolean verify(String hostname, SSLSession session) {
            // 返回true代表通过  false代表不通过  如果直接返回true。意味着不去验证主机名,可能会导致中间人攻击
            // hostname 为客户端请求的域名,session为服务端证书。系统默认验证主要是验证hostname与证书内的域名是否一致
            return true;
        }
    });
} catch (MalformedURLException e) {
    e.printStackTrace();
} catch (IOException e) {
    e.printStackTrace();
} catch (NoSuchAlgorithmException e) {
    e.printStackTrace();
} catch (KeyManagementException e) {
    e.printStackTrace();
} catch (GeneralSecurityException e) {
    e.printStackTrace();
}

2. 使用OkHttp配置

try {
    //1.SSLContext 初始化
    SSLContext tls = SSLContext.getInstance("TLS");
    // 使用系统默认的客户端密钥库验证做单向验证
    TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
    trustManagerFactory.init((KeyStore) null);
    TrustManager[] trustManagers = trustManagerFactory.getTrustManagers();
    if (trustManagers.length != 1 || !(trustManagers[0] instanceof X509TrustManager)) {
        throw new IllegalStateException("Unexpected default trust managers:"
                + Arrays.toString(trustManagers));
    }
    
    tls.init(null,trustManagers, new SecureRandom());
    //3.ssl工厂
    SSLSocketFactory sslSocketFactory = tls.getSocketFactory();
    OkHttpClient okhttpClient = new OkHttpClient.Builder()
            .connectTimeout(30, TimeUnit.SECONDS)
            .retryOnConnectionFailure(true) //设置出现错误进行重新连接。
            .connectTimeout(15, TimeUnit.SECONDS)
            .readTimeout(60 * 1000, TimeUnit.MILLISECONDS)
            .sslSocketFactory(sslSocketFactory, (X509TrustManager) trustManagers[0])
            // getDefaultHostnameVerifier  获取系统默认的主机名验证。
            .hostnameVerifier(HttpsURLConnection.getDefaultHostnameVerifier())
            .build();
} catch (NoSuchAlgorithmException e) {
    e.printStackTrace();
} catch (KeyStoreException e) {
    e.printStackTrace();
} catch (KeyManagementException e) {
    e.printStackTrace();
}

上述方法中使用的都是系统默认的验证方式,为单向验证,客户端验证服务端

TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(
        TrustManagerFactory.getDefaultAlgorithm());
trustManagerFactory.init((KeyStore) null);
该方法为获取系统默认的密码库去验证服务端的证书,主要会验证证书的时间有效期,机构等。如果你的服务器证书是自己颁发,
不是由认证的CA机构颁发,那默认的方法可能就无法通过
HttpsURLConnection.getDefaultHostnameVerifier()
该方法是获取系统自带的主机名验证方法,最后是由OkHostnameVerifier去验证。有兴趣可以自己看看源码

3. 双向验证

双向验证简单理解就是 客户端验证服务端,并且服务端也要验证客户端

3.1 客户端需要有有服务端提供的公钥证书(Android 默认支持BKS密钥库,以下为使用BKS密钥库为例子)

3.2 使用方式

public static SSLSocketFactory getSSLCertifcation(Context context) {
    SSLSocketFactory sslSocketFactory = null;
    // 服务器端需要验证的客户端证书,其实就是客户端的keystore
    InputStream ksIn = null;
    try {
        KeyStore  clientKey = KeyStore.getInstance("BKS");// 客户端信任的服务器端证书
        ksIn = context.getAssets().open("密钥库名称.bks");
        clientKey.load(ksIn, "密钥库密码".toCharArray());
        ksIn.close();
        //初始化SSLContext
        SSLContext sslContext = SSLContext.getInstance("TLS");
        KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance("X.509");
        keyManagerFactory.init(clientKey, "密钥库密码".toCharArray());
        keyManagerFactory.init(clientKey, "你的密钥库密码".toCharArray());

        // 默认客户端验证
        TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(
                TrustManagerFactory.getDefaultAlgorithm());
        trustManagerFactory.init((KeyStore) null);
        TrustManager[] trustManagers = trustManagerFactory.getTrustManagers();

        sslContext.init(keyManagerFactory.getKeyManagers(),trustManagers, new java.security.SecureRandom());
        sslSocketFactory = sslContext.getSocketFactory();
    } catch (KeyStoreException e) {
        e.printStackTrace();
    } catch (IOException e) {
        e.printStackTrace();
    } catch (CertificateException e) {
        e.printStackTrace();
    } catch (NoSuchAlgorithmException e) {
        e.printStackTrace();
    } catch (KeyManagementException e) {
        e.printStackTrace();
    } catch (UnrecoverableKeyException e) {
        e.printStackTrace();
    } finally {
        try {
            ksIn.close();
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
    return sslSocketFactory;
}

上述方法为服务端会验证放在客户端本地的bks密钥库里证书,客户端使用默认的方式验证服务端证书(此时服务端的证书需要由机构认证颁发的)

4. 如果需要客户端严格验证服务端证书,不使用默认的,可以这样

public static SSLSocketFactory getSSLCertifcation(Context context) {
    SSLSocketFactory sslSocketFactory = null;
    // 服务器端需要验证的客户端证书,其实就是客户端的keystore
    InputStream ksIn = null;
    try {
        KeyStore  clientKey = KeyStore.getInstance("BKS");// 客户端信任的服务器端证书
        ksIn = context.getAssets().open("密钥库名称.bks");
        clientKey.load(ksIn, "密钥库密码".toCharArray());
        ksIn.close();
        //初始化SSLContext
        SSLContext sslContext = SSLContext.getInstance("TLS");
        KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance("X.509");
        keyManagerFactory.init(clientKey, "密钥库密码".toCharArray());
        keyManagerFactory.init(clientKey, "你的密钥库密码".toCharArray());

        // 获取本地验证的服务端证书
        InputStream certInput = new BufferedInputStream(context.getAssets().open("证书名称.crt"));
        CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");
        X509Certificate serverCet = (X509Certificate) certificateFactory.generateCertificate(certInput);
        TrustManager[] trustManagers = new TrustManager[]{new X509TrustManager() {
            @Override
            public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {
                    // 验证客户端证书的有效性,一般客户端不需要验证
            }

            @Override
            public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
                // 验证服务端证书的有效性
                if (chain == null){
                    throw new IllegalArgumentException("Check Server x509Certifications is null");
                }
                for (X509Certificate cert:chain) {
                    // 校验服务端证书签名是否有问题
                    cert.checkValidity();
                    // 和本地保存的服务端的证书做对比
                    try {
                        cert.verify(serverCet.getPublicKey());
                    } catch (InvalidKeyException e) {
                        e.printStackTrace();
                    } catch (NoSuchAlgorithmException e) {
                        e.printStackTrace();
                    } catch (NoSuchProviderException e) {
                        e.printStackTrace();
                    } catch (SignatureException e) {
                        e.printStackTrace();
                    }
                }

            }
            @Override
            public X509Certificate[] getAcceptedIssuers() {
                return new X509Certificate[0];
            }
        }};

        sslContext.init(keyManagerFactory.getKeyManagers(),trustManagers, new java.security.SecureRandom());
        sslSocketFactory = sslContext.getSocketFactory();
    } catch (KeyStoreException e) {
        e.printStackTrace();
    } catch (IOException e) {
        e.printStackTrace();
    } catch (CertificateException e) {
        e.printStackTrace();
    } catch (NoSuchAlgorithmException e) {
        e.printStackTrace();
    } catch (KeyManagementException e) {
        e.printStackTrace();
    } catch (UnrecoverableKeyException e) {
        e.printStackTrace();
    } finally {
        try {
            ksIn.close();
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
    return sslSocketFactory;
}

5. 主机名验证

5.1 系统默认

HttpsURLConnection.getDefaultHostnameVerifier()   // 系统默认主机名认证或者不写

5.2 自我强检测

connection.setHostnameVerifier(new HostnameVerifier() {
    @Override
    public boolean verify(String hostname, SSLSession session) {
        // 返回true代表通过  false代表不通过  如果直接返回true。意味着不去验证主机名,可能会导致中间人攻击
        // 示例
        if("yourhostname".equals(hostname)){
            return true;
        } else {
            HostnameVerifier hv = HttpsURLConnection.getDefaultHostnameVerifier();
            return hv.verify(hostname, session);
        }
    }
});

参考:

Android Https的详解

阿里安全开发 -- Android安全开发之安全使用HTTPS

Android App 安全的HTTPS 通信

离玖拾
关注
专栏目录
Android实现https网络通信之添加指定信任证书/信任所有证书
ncepu307的专栏
05-20 1万+
Android客户端访问https网站,默认情况下,受证书信任限制,无法访问,可以有两种解决方法来实现: 1、将要访问的https网站的ca证书添加到客户端信任证书列表中,此种方式为谷歌推荐,安全性高。 2、将客户端设置为信任所有证书,也就是说不验证服务器证书,此种方式实现简单,但是安全性低,不推荐使用。 直接上代码,分别实现两种方式的访问。 1、客户端添加指定信任证书 ass
Android应用实现Https双向认证
renzhongrui的博客
01-03 3903
为什么需要双向认证 Https保证的是信道的安全,即客户端和服务端通信报文的安全。但是无法保证中间人攻击,所以双向认证解决的问题就是防止中间人攻击。 中间人攻击(Man-in-the-MiddleAttack)简称(MITM),是一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。若没有开启双向认证,中间人可以拦截客户端发送的请求,然后篡改信息再发送到服务端;中间人也可以拦截服务端返回的信息,再发送到客户端。所
Android HTTPS详解
小一的专栏
09-15 6497
前言 最近有一个跟Https相关的问题需要解决,因此花时间学习了一下Android平台Https使用,同时也看了一些Https的原理,这里分享一下学习心得。 HTTPS原理 HTTPS(Hyper Text Transfer Protocol Secure),是一种基于SSL/TLS的HTTP,所有的HTTP数据都是在SSL/TLS协议封装之上进行传输的。HTTPS协议是在HTTP
深入分析 Android HTTPS 证书管理策略:设置本地证书使用系统默认证书和忽略证书
最新发布
weixin_37600397的博客
07-02 1490
设置本地证书:提供最高的安全性和合规性,适用于高安全要求的应用,但维护复杂。使用系统默认证书:配置简单、维护轻松,适用于一般的商业应用。忽略证书验证:仅适用于开发和测试阶段,安全性极低,绝不推荐在生产环境中使用。根据应用的实际需求和安全要求选择合适的 SSL 证书管理策略,以确保应用的数据传输安全和用户隐私保护。
https证书Android中的使用
static_zh的博客
07-09 4254
我们在使用https访问服务器的时候都需要校验证书,测试的时候为了方便默认信任的所有的证书,但是在上线的时候就需要设置证书了,一个比较简单的方式就是在客户端内置证书,设置给网络框架,比如OKHttp,这样在网络访问的时候客户端就会校验服务器的证书是不是和本地的证书一致。具体代码如下: /** * * @param inputStream 本地证书的输入流 * @ret...
IOS,Android SSL双向认证HTTPS方式请求及配置证书
12-19
本文将详细介绍`IOS`和`Android`平台上如何实现`SSL`双向认证以及配置证书。 首先,理解`SSL`双向认证的概念。常规的`SSL`单向认证中,服务器会验证客户端的身份,但客户端并不验证服务器的身份。而在双向认证中,...
Android HTTPS 自制证书实现双向认证(OkHttp + Retrofit + Rxjava)
2401_84123357的博客
04-28 685
try {// 服务器端需要验证的客户端证书,其实就是客户端的keystore// 客户端信任的服务器端证书//读取证书//加载证书//初始化SSLContext} catch (KeyStoreException e) {…}//省略各种异常处理,请自行添加。
android https 双向验证
05-11
总之,AndroidHTTPS双向验证涉及证书管理、SSLContext配置、自定义SSLSocketFactory以及错误处理等多个环节。在实际应用中,必须确保每个环节都正确无误,才能实现安全可靠的通信。同时,要根据实际需求调整验证...
Android Https证书认证
qq_25920753的博客
11-14 4862
Android Https证书认证 Android 开发时,有时对于https的认证需要做处理。使用HttpsURLConnection时,可以指定认证证书。有跳过证书认证(不推荐)和信任指定证书两种做法
android https遇到自签名证书/信任证书
05-05
android https遇到自签名证书/信任证书
Android SSL证书验证原理
08-25
Android SSL验证原理
Android HTTPS 网络访问
05-04
测试3种Android HTTPS网络访问
httpsandroid证书
lishiyu_hebei的博客
04-12 671
1.https 简述        http 就是我们平时浏览网页时候使用的一种协议,http协议传输的数据是未经加密的,也就是明文,因此,使用http协议传输隐私信息是不安全的。http 使用80 端口。        https是一种安全的网络协议,使用的是443端口,在网络上,https 经由http协议进行通信,但是利用SSL/TLS来进行对数据包的加密。https 的最重要目的就是提供对...
Android 实现HTTPS自签名证书(非常详细)
热门推荐
yanhuomatou2015的博客
11-12 1万+
1.HTTP协议与HTTPS协议 简单来说,HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议。 区别主要如下: 1.https协议需要到CA申请证书,一般免费证书较少,因而需要一定费用。 2.http是超文本传输协议,信息是明文传输,https则是具有安全性的ssl加密传输协议。 3.http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。 Https的优点: 1.认证用户和服务器,确保数据发送到正确的客户机和服务器 。(验证证书) 2.加密
Android使用https
海纳百川Android的博客
09-27 1329
HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。 为了解决HTTP协议的这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS,为了数据传输的安全HTTPS在H...
Android HTTPS认证
Android在路上
01-18 3849
1、概述 因为最近公司的项目需求涉及到HTTPS双向认证和服务器进行交互,所以最近花了大量时间研究相关知识,发现网上并没有完善的相关文章,自己在这个过程中也走了好多弯路,所以决定写篇文章记录自己学到的东西,同时也希望能够帮到需要的人。 2、HTTPS相关介绍 HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer
Android添加https证书
baopengjian的专栏
05-23 3257
#1 Android只支持.bks格式的证书,要生成.bks证书,可以通过keytools的adb命令将.cer格式的数字证书导入到.bak文件中 #2   预备工具“bcprov-jdk16-145.jar”(下载地址(放了两个jdk版本的jar文件):http://download.csdn.net/detail/baopengjian/9528444) #3    将“b
Android HttpClient与Tomcat双向SSL验证实现
这个资源提供了从证书生成到服务器配置,再到Android客户端实现SSL双向验证的完整流程,对理解和实践Android与服务器间的安全通信具有很高的参考价值。开发者在实际操作中应根据自己的服务器环境和应用需求,调整...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值