我们应该怎么做android https 客户端校验未完待续

最新推荐文章于 2023-10-12 10:43:46 发布
最新推荐文章于 2023-10-12 10:43:46 发布
阅读量431 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jyygn163/article/details/80356178
版权

面临的问题?

安全要做到哪种程度?

android系统校验策略?

应该怎么做校验?

HTTPS简介

HTTPS 全称 HTTP over TLS。TLS是在传输层上层的协议,应用层的下层,作为一个安全层而存在,翻译过来一般叫做传输层安全协议。

对 HTTP 而言,安全传输层是透明不可见的,应用层仅仅当做使用普通的 Socket 一样使用 SSLSocket 。

TLS是基于 X.509 认证,他假定所有的数字证书都是由一个层次化的数字证书认证机构发出,即 CA。另外值得一提的是 TLS 是独立于 HTTP 的,任何应用层的协议都可以基于 TLS 建立安全的传输通道,如 SSH 协议。

HTTPS工作流程

Client                        Server

1.Request.                   公钥(锁头)

2.Client校验证书(过期时间、颁发机构)

3.生成随机数,将随机数发送给服务端

4.C/S通过随机值当KEY加密数据传输  


CA要解决的问题



通过公钥使用系统提供的验证策略

android系统本身会维护一个信任证书链根,如果用系统证书链校验存在一个问题,非法CA可以将自己的证书添加到系统信任列表,这样对于系统来说就是一个被信任的证书,故不安全。

因android系统开源,各个厂商内置的CA证书根不一样,不能确保权威三方颁发的证书链一定在某个系统中,故也不安全。

CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");
InputStream caInput = new BufferedInputStream(CC.getApplication().getAssets().open("aosCaGsorganizationvalsha2g2r1.crt"));
Certificate ca=certificateFactory.generateCertificate(caInput);
Logger.v("fasfasf", "ca=" + ((X509Certificate) ca).getSubjectDN());
Logger.v("fasfasf", "key=" + ((X509Certificate) ca).getPublicKey());


KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
keyStore.load(null);
keyStore.setCertificateEntry("ca",ca);

TrustManagerFactory tmf =TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
tmf.init(keyStore);
SSLContext sslContext = SSLContext.getInstance("TLS");
sslContext.init(null,tmf.getTrustManagers(), new SecureRandom());
sslSocketFactory = sslContext.getSocketFactory();
 if (sslSocketFactory != null) {
            HttpsURLConnection.setDefaultSSLSocketFactory(sslSocketFactory);
            //
            HttpsURLConnection.setDefaultHostnameVerifier(new HostnameVerifier() {
                @Override
                public boolean verify(String hostname, SSLSession session) {
                    boolean isTrustDns= ConfigerHelper.getInstance().isTrustDns(hostname);
                    Logger.v(TAG, "isTrustDns "+isTrustDns);
                    return isTrustDns;
                }});
//            httpsURLConnection.setHostnameVerifier(new HostnameVerifier() {
//                @Override
//                public boolean verify(String hostname, SSLSession session) {
//                    boolean isTrustDns= ConfigerHelper.getInstance().isTrustDns(hostname);
//                    Logger.v(TAG, "isTrustDns "+isTrustDns);
//                    return isTrustDns;
//                }
//            });
        }

自定义验证策略

 if (sAgroupSslSocketFactory == null) {
            try {
                TrustManager[] trustManagers=new TrustManager[]{
                        new X509TrustManager() {
                            @Override
                            public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {
                            }

                            @Override
                            public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
                                //暂时不做证书校验
                            }

                            @Override
                            public X509Certificate[] getAcceptedIssuers() {
                                return new X509Certificate[0];
                            }
                        }
                };
                SSLContext sslContext = SSLContext.getInstance("TLS");
                sslContext.init(null,trustManagers, new SecureRandom());
                sslSocketFactory = sslContext.getSocketFactory();
            } catch (Throwable e) {
                Logger.v("fasfasf",""+e.getMessage());
//                DebugLog.error(e.getMessage(), e);
            }
        }


to be continued


引用:

https://developer.android.com/training/articles/security-ssl?hl=zh-cn

https://cloud.tencent.com/developer/article/1005073

android根证书管理:https://www.wolfcstech.com/2018/03/20/android_cert_mgr_and_verify/


guannanYan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android APP之WebView如何校验SSL证书
06-24 766
请参考以下代码,原理是:如果webview报告SSL错误,程序将会对服务器证书进行强校验,如果服务器传入证书的指纹(sha256)与记录值一致,说明webview验证过程存在缺陷(如:手机日期错误、根证书被删除 等),忽略SSL错误;SSL错误的处理方式十分关键,如果处理不当,可能导致中间人攻击,黑客窃听数据,进而引发安全事故。如果APP需要访问多张证书,请在代码中加入多个证书指纹数值。在测试代码时,请将手机日期设置在证书有效期之前,判断WebView是否能正常访问HTTPS站点。
Android SSL证书验证原理
08-25
Android SSL验证原理
Android https证书校验、防抓包
最新发布
conerconced的博客
10-12 1360
android https证书校验,防抓包
Android合规问题引起的https证书校验
我的专栏
10-12 1453
记录一下Android中接口请求遇到的https证书相关的问题
android 服务器证书校验,Android HTTPS证书验证的简单方式
weixin_39607873的博客
05-26 2089
1. 背景与需求近期在IP切换的HTTPS访问时,遇到了一些问题:客户如何进行HTTPS的证书验证。其实对于一般的项目基本都是的单向验证,即在客户证书或者HOST的验证;对于金融、银行相关的项目才会使用的双向验证,客户与服务之间都要对彼此进行验证,以防止中间人进行攻击。2.实现目标本文记录的是:客户实现对HOST的验证,这样基本满足一般项目的需求,也不需要客户内置证书,引起更新时候...
android ssl证书验证
11-15
android ssl证书验证
Android webview手动校验https证书(by 星空武哥)
08-29
Android开发中,Webview是用于在应用程序内部嵌入网页内容的重要组件。然而,由于Android系统版本间的差异或特定设备的bug,有时Webview可能无法正确验证HTTPS证书,导致加载某些网站时出现错误。比如华为Mate7...
安全测试之避开客户校验
03-23
 但是,这样存在一个基本的安全缺陷:用户能够全控制客户及提交的数据,即避开任何在客户执行但服务器并不采用的控件,直接提交数据给服务器处理。  目前已经有大量的拦截代理服务器的工具。比如firefox...
Android 串口通信Demo 可以修改奇偶校验
06-26
本文将深入探讨如何在Android应用中实现串口通信,并重点讲解如何修改奇偶校验位,以便提高数据传输的准确性和可靠性。 串口通信,也称为串行通信,是一种通过串行数据线进行数据传输的技术。在Android系统中,由于...
android中实现手机号码的校验的示例代码
01-20
Android应用程序开发中,对用户输入的手机号码进行校验是一项常见的需求,这有助于确保数据的准确性和提高用户体验。在给定的示例代码中,作者提供了一个简单的方法`isMobileNO`,用于验证输入的字符串是否符合...
Android APP之WebView校验SSL证书的方法
08-29
主要介绍了Android APP之WebView校验SSL证书的方法,需要的朋友可以参考下
android使用自定义证书的https连接
08-08
使用.bks格式的自定义证书的HTTPS连接方式,验证自定义证书。 参考博客http://blog.csdn.net/raptor/article/details/18898937
Android https 验证,Android Https单向验证
weixin_34727107的博客
05-27 273
最近在维护一个老掉牙的项目,用了HttpClient,而且还要改用Https协议,于是客户报错了:javax.net.ssl.SSLPeerUnverifiedException: No peer certificate ,这是使用https没有验证证书导致,解决的方式有两种:单向验证和双向验证,单向验证信任所有的证书,有安全风险,双向验证是建立在单向验证的基础上的,然后了个单向验证:/***...
android Https的使用及双向验证证书
he先森的博客
05-08 304
转载:android Https的使用及双向验证证书
HTTPS自签证书及Android客户校验
u013415670的博客
03-17 1507
HTTPS自签证书及Android客户校验使用openssl生成自签证书生成自己的根证书生成服务证书配置服务证书到服务在浏览器中打开效果Android客户校验自签证书Android 中内置证书在系统中的位置 使用openssl生成自签证书 生成自己的根证书 生成CA私钥文件ca.key: openssl genrsa -out ca.key 1024 生成X.509证书签名请求文件ca...
Android网络请求忽略https证书验证
liuzhenyu0619的专栏
12-17 2909
在使用Volley和OkHttp,Retrofit的时候,访问https的网站,经常会碰到一个异常就是javax.net.ssl.SSLHandshakeException,大致就是证书相关的异常。 一般这种情况下会报的异常是这样的: javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found. .
Android https ssl证书配置(使用okhttp)
天盟 - 技术博客 - Eamon
08-30 8476
本文介绍使用okhttp时配置https证书的用法,关于证书的原理和SSL协议本文不介绍,需要的同学自行查阅。https证书常见的错误用法是信任所有证书,https证书在移动应用中常见的问题是证书过期但客户无法及时更新的问题。本文列举了几种配置方法,并简单总结: 1、验证系统中信任的根证书(默认) 不适合自颁发的证书(12306.cn) 也会存在中间人劫持问题,只要有从信任...
Android证书有效性验证方案
我的专栏
09-30 3220
SSL劫持攻击: 目前虽然很多Android APP使用了https通信方式,但是只是简单的调用而已,并对SSL证书有效性验证。在攻击者看来,这种漏洞让https形同虚设,可以轻易获取手机用户的明文通信信息,攻击示意图如下:
Android HTTPS认证
Android在路上
01-18 3789
1、概述 因为最近公司的项目需求涉及到HTTPS双向认证和服务器进行交互,所以最近花了大量时间研究相关知识,发现网上并没有善的相关文章,自己在这个过程中也走了好多弯路,所以决定写篇文章记录自己学到的东西,同时也希望能够帮到需要的人。 2、HTTPS相关介绍 HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer
自签名的SSL证书,android客户应该怎么使用https协议
02-06
如果您使用的是自签名的 SSL 证书,在 Android 客户中使用 HTTPS...4. 为了保证安全,您还应该客户代码中加入证书校验的逻辑,并且客户需要确保请求的URL和证书的公钥的主机名一致 可以自行查找具体代码实现。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值