Android HTTPS SSL双向验证

最新推荐文章于 2024-02-26 20:00:00 发布
最新推荐文章于 2024-02-26 20:00:00 发布
阅读量337 收藏
点赞数

一、HTTPSHTTP的区别

1https协议需要到ca申请证书,一般免费证书很少,需要交费。
 
2http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议。
 
3httphttps使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443
 
4http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。

二、SSL功能

1)客户对服务器的身份认证:
SSL服务器允许客户的浏览器使用标准的公钥加密技术和一些可靠的认证中心(CA)的证书,来确认服务器的合法性。
 
2)服务器对客户的身份认证:
也可通过公钥技术和证书进行认证,也可通过用户名,password来认证。
 
3)建立服务器与客户之间安全的数据通道:
SSL要求客户与服务器之间的所有发送的数据都被发送端加密、接收端解密,同时还检查数据的完整性。

SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层:

SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。

SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。

三、生成密钥库和证书

可参考以下密钥生成脚本,根据实际情况做必要的修改,其中需要注意的是:服务端的密钥库参数“CN”必须与服务端的IP地址相同,否则会报错,客户端的任意。

1、生成服务器证书库
 
keytool-validity365-genkey-v-aliasserver-keyalgRSA-keystoreD:\ssl\server.keystore-dname"CN=127.0.0.1,OU=rongyiwang,O=rongyiwang,L=Shanghai,ST=Shanghai,c=cn"-storepass123456-keypass123456
 
2、生成客户端证书库
 
keytool-validity365-genkeypair-v-aliasclient-keyalgRSA-storetypePKCS12-keystoreD:\ssl\client.p12-dname"CN=client,OU=rongyiwang,O=rongyiwang,L=Shanghai,ST=Shanghai,c=cn"-storepass123456-keypass123456
 
3、从客户端证书库中导出客户端证书
 
keytool-export-v-aliasclient-keystoreD:\ssl\client.p12-storetypePKCS12-storepass123456-rfc-fileD:\ssl\client.cer
 
4、从服务器证书库中导出服务器证书
 
keytool-export-v-aliasserver-keystoreD:\ssl\server.keystore-storepass123456-rfc-fileD:\ssl\server.cer
 
5、生成客户端信任证书库(由服务端证书生成的证书库)
 
keytool-import-v-aliasserver-fileD:\ssl\server.cer-keystoreD:\ssl\client.truststore-storepass123456
 
6、将客户端证书导入到服务器证书库(使得服务器信任客户端证书)
 
keytool-import-v-aliasclient-fileD:\ssl\client.cer-keystoreD:\ssl\server.keystore-storepass123456
 
7、查看证书库中的全部证书
 
keytool-list-keystoreD:\ssl\server.keystore-storepass123456

通过上面的步骤生成的证书,客户端需要用到的是client.p12(客户端证书,用于请求的时候给服务器来验证身份之用)client.truststore(客户端证书库,用于验证服务器端身份,防止钓鱼)这两个文件.

其中安卓端的证书类型必须要求是BKS类型,具体生成可以参考这个createa bks bouncycastle,这里涉及到这个JARbcprov-ext-jdk15on-152.jar文件.

以下只给出Android端的请求,具体服务器端的配置可以参考这篇博客-->JavaTomcat SSL 服务端/客户端双向认证(一)

四、AndroidSSL认证请求

一般客户端验证SSL有两种方式,一种是通过SSLSocketFactory方式创建,需要设置域名及端口号(适应于HttpClient请求方式),一种是通过SSLContext方式创建(适用于HttpsURLConnection请求方式).

1、下面给出SslSocketFactory方式进行SSL认证的客户端代码

privatestaticfinalStringKEY_STORE_TYPE_BKS="bks";//证书类型固定值
    privatestaticfinalStringKEY_STORE_TYPE_P12="PKCS12";//证书类型固定值
 
    privatestaticfinalStringKEY_STORE_CLIENT_PATH="client.p12";//客户端要给服务器端认证的证书
    privatestaticfinalStringKEY_STORE_TRUST_PATH="client.truststore";//客户端验证服务器端的证书库
    privatestaticfinalStringKEY_STORE_PASSWORD="123456";//客户端证书密码
    privatestaticfinalStringKEY_STORE_TRUST_PASSWORD="123456";//客户端证书库密码
 
    /**
     * 获取SslSocketFactory
     *
     * @param context 上下文
     * @return SSLSocketFactory
     */
    publicstaticSSLSocketFactorygetSslSocketFactory(Contextcontext){
        try{
            //服务器端需要验证的客户端证书
            KeyStorekeyStore=KeyStore.getInstance(KEY_STORE_TYPE_P12);
            //客户端信任的服务器端证书
            KeyStoretrustStore=KeyStore.getInstance(KEY_STORE_TYPE_BKS);
 
            InputStreamksIn=context.getResources().getAssets().open(KEY_STORE_CLIENT_PATH);
            InputStreamtsIn=context.getResources().getAssets().open(KEY_STORE_TRUST_PATH);
            try{
                keyStore.load(ksIn,KEY_STORE_PASSWORD.toCharArray());
                trustStore.load(tsIn,KEY_STORE_TRUST_PASSWORD.toCharArray());
            }catch(Exceptione){
                e.printStackTrace();
            }finally{
                try{
                    ksIn.close();
                }catch(Exceptionignore){
                }
                try{
                    tsIn.close();
                }catch(Exceptionignore){
                }
            }
            returnnewSSLSocketFactory(keyStore,KEY_STORE_PASSWORD,trustStore);
        }catch(KeyManagementException|UnrecoverableKeyException|KeyStoreException|FileNotFoundException|NoSuchAlgorithmException|ClientProtocolExceptione){
            e.printStackTrace();
        }catch(IOExceptione){
            e.printStackTrace();
        }
        returnnull;
    }
    
    /**
     * 获取SSL认证需要的HttpClient
     *
     * @param context 上下文
     * @param port    端口号
     * @return HttpClient
     */
    publicstaticHttpClientgetSslSocketFactoryHttp(Contextcontext,intport){
        HttpClienthttpsClient=newDefaultHttpClient();
        SSLSocketFactorysslSocketFactory=getSslSocketFactory(context);
        if(sslSocketFactory!=null){
            Schemesch=newScheme("https",sslSocketFactory,port);
            httpsClient.getConnectionManager().getSchemeRegistry().register(sch);
        }
        returnhttpsClient;
    }

2、下面给出SSLContext方式进行SSL认证的客户端代码

privatestaticfinalStringKEY_STORE_TYPE_BKS="bks";//证书类型固定值
    privatestaticfinalStringKEY_STORE_TYPE_P12="PKCS12";//证书类型固定值
 
    privatestaticfinalStringKEY_STORE_CLIENT_PATH="client.p12";//客户端要给服务器端认证的证书
    privatestaticfinalStringKEY_STORE_TRUST_PATH="client.truststore";//客户端验证服务器端的证书库
    privatestaticfinalStringKEY_STORE_PASSWORD="123456";//客户端证书密码
    privatestaticfinalStringKEY_STORE_TRUST_PASSWORD="123456";//客户端证书库密码
    
    /**
     * 获取SSLContext
     *
     * @param context 上下文
     * @return SSLContext
     */
    privatestaticSSLContextgetSSLContext(Contextcontext){
        try{
            //服务器端需要验证的客户端证书
            KeyStorekeyStore=KeyStore.getInstance(KEY_STORE_TYPE_P12);
            //客户端信任的服务器端证书
            KeyStoretrustStore=KeyStore.getInstance(KEY_STORE_TYPE_BKS);
 
            InputStreamksIn=context.getResources().getAssets().open(KEY_STORE_CLIENT_PATH);
            InputStreamtsIn=context.getResources().getAssets().open(KEY_STORE_TRUST_PATH);
            try{
                keyStore.load(ksIn,KEY_STORE_PASSWORD.toCharArray());
                trustStore.load(tsIn,KEY_STORE_TRUST_PASSWORD.toCharArray());
            }catch(Exceptione){
                e.printStackTrace();
            }finally{
                try{
                    ksIn.close();
                }catch(Exceptionignore){
                }
                try{
                    tsIn.close();
                }catch(Exceptionignore){
                }
            }
            SSLContextsslContext=SSLContext.getInstance("TLS");
            TrustManagerFactorytrustManagerFactory=TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
            trustManagerFactory.init(trustStore);
            KeyManagerFactorykeyManagerFactory=KeyManagerFactory.getInstance("X509");
            keyManagerFactory.init(keyStore,KEY_STORE_PASSWORD.toCharArray());
            sslContext.init(keyManagerFactory.getKeyManagers(),trustManagerFactory.getTrustManagers(),null);
            returnsslContext;
        }catch(Exceptione){
            Log.e("tag",e.getMessage(),e);
        }
        returnnull;
    }
    
    /**
     * 获取SSL认证需要的HttpClient
     *
     * @param context 上下文
     * @return OkHttpClient
     */
    publicstaticOkHttpClientgetSSLContextHttp(Contextcontext){
        OkHttpClientclient=newOkHttpClient();
        SSLContextsslContext=getSSLContext(context);
        if(sslContext!=null){
            client.setSslSocketFactory(sslContext.getSocketFactory());
        }
        returnclient;
    }
    
    /**
     * 获取HttpsURLConnection
     *
     * @param context 上下文
     * @param url     连接url
     * @param method  请求方式
     * @return HttpsURLConnection
     */
    publicstaticHttpsURLConnectiongetHttpsURLConnection(Contextcontext,Stringurl,Stringmethod){
        URLu;
        HttpsURLConnectionconnection=null;
        try{
            SSLContextsslContext=getSSLContext(context);
            if(sslContext!=null){
                u=newURL(url);
                connection=(HttpsURLConnection)u.openConnection();
                connection.setRequestMethod(method);//"POST""GET"
                connection.setDoOutput(true);
                connection.setDoInput(true);
                connection.setUseCaches(false);
                connection.setRequestProperty("Content-Type","binary/octet-stream");
                connection.setSSLSocketFactory(sslContext.getSocketFactory());
                connection.setConnectTimeout(30000);
            }
        }catch(Exceptione){
            e.printStackTrace();
        }
        returnconnection;
    }

这里还没有给出Webview进行HTTPS请求的方式,正在研究中,后续有了再来更新,这里需要注意一下的就是SSLContext默认端口是443端口,这点需要注意一下


源码地址:https://gist.github.com/Frank-Zhu/41e21a00df26d63cd38d

l1451302662
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
android 双向ssl通信(1)证书流程
08-31 5569
自己生成的一套可以使用的证书,用于android下面的双向ssl通信 Socket分为服务端和客户端。由于是双向ssl通信,我们需要在服务端和客户端建立密钥库来保存密钥和证书。我们先从服务端开始: 服务端我们采用java默认的密钥库JKS类型,首先我们利用keytool工具切换到工程所在目录的子目录src文件夹下面,然后我们创建一个密钥对,语句如下: keytool -genkey
android https之三
Active
06-30 148
[url=http://stackup.iteye.com/blog/1111547]android https之一[/url] [url=http://stackup.iteye.com/blog/1111548]android https之二[/url] [url=http://stackup.iteye.com/blog/1111550]android https之三[/url] ...
Android 实现HTTPS 双向校验
honeylife的博客
05-28 682
Android HttpClient 实现HTTPS 双向校验HttpClient 实现HTTPS 双向校验认证方式单向认证双向认证合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UM...
Android Https双向验证
peterzhen的博客
01-14 746
对于网络安全,我们的重视程度远远及不上欧美等国家,部署Https的网站远远少于他们;但随着互联网不断普及,国民对数据安全的需求也越来越高,Https逐渐在国内普及开来。 最近公司项目也开始转为Https,故简单记录一下Android Https的一些设置。 生成相关证书 从后台那里拿到P12格式的证书文件,如:server.pfx; 生成服务器cer证书 安装openssl
android 使用HttpsURLConnection方式的SSL双向认证
12-08
此项目“android 使用HttpsURLConnection方式的SSL双向认证”着重讲解了如何在Android应用中通过HttpsURLConnection实现SSL的客户端和服务器端之间的双向身份验证,确保通信的隐私和完整性。 首先,我们需要理解SSL...
IOS,Android SSL双向认证HTTPS方式请求及配置证书
12-19
总之,`IOS`和`Android`平台上的`SSL`双向认证通过增加身份验证的双方向性,提升了网络安全。开发者需要熟悉证书管理、安全策略配置以及异常处理,以确保应用的安全通信。在实际操作中,务必遵循最佳实践,避免潜在...
android https 双向验证
05-11
总之,AndroidHTTPS双向验证涉及证书管理、SSLContext配置、自定义SSLSocketFactory以及错误处理等多个环节。在实际应用中,必须确保每个环节都正确无误,才能实现安全可靠的通信。同时,要根据实际需求调整验证...
IOS Android Tomcat SSL双向认证HTTPS访问
wangyadong99的专栏
10-14 5139
由于项目要求为了保证服务器数据安全,保证接口不暴露给第三方,要求我们客户端接口全部采用HTTPSSSL验证请求,花费一个多星期才搞定IOS和Android端和Tomcat服务器间的HTTPSSSL验证请求,其中不免遇到了许多问题和麻烦,所以写下这篇文章希望对有需要的有所帮助。 一、HTTPS和HTTP的区别 1、https协议需要到ca申请证书,一般免费证书很少,需要交费。 2、
Android SSL证书验证原理
08-25
Android SSL验证原理
android HTTPS双向认证
Froeverlove的博客
12-08 1898
近期项目中遇到需要对HTTPS进行双向认证,整理下可以实现的两种方式。
Android证书有效性验证方案
我的专栏
09-30 3221
SSL劫持攻击: 目前虽然很多Android APP使用了https通信方式,但是只是简单的调用而已,并未对SSL证书有效性做验证。在攻击者看来,这种漏洞让https形同虚设,可以轻易获取手机用户的明文通信信息,攻击示意图如下:
ssl证书验证绕过抓包
最新发布
qq_63980959的博客
02-26 1254
在实际环境中,可能会遇到抓不到包的情况,有可能是因为app有双向ssl证书验证机制,导致无法抓包,那么便需要一些操作来绕过该验证机制。
安卓 https 证书校验和绕过
AzulSystems的博客
03-04 2383
吕元江。
Android APP之WebView如何校验SSL证书
06-24 769
请参考以下代码,原理是:如果webview报告SSL错误,程序将会对服务器证书进行强校验,如果服务器传入证书的指纹(sha256)与记录值一致,说明webview验证过程存在缺陷(如:手机日期错误、根证书被删除 等),忽略SSL错误;SSL错误的处理方式十分关键,如果处理不当,可能导致中间人攻击,黑客窃听数据,进而引发安全事故。如果APP需要访问多张证书,请在代码中加入多个证书指纹数值。在测试代码时,请将手机日期设置在证书有效期之前,判断WebView是否能正常访问HTTPS站点。
Android OkHttp进行单向证书校验(双向的需要服务端也配置证书
蓝色的天空的博客
05-31 2660
1.获取跟域名的证书文件 例如接口服务域名是 https://www.baidu.com/ 按照以下步骤导出证书信息,选择base64格式的.cer文件,用文本编辑器打开,复制证书信息 2.编写代码配置 // 证书信息进行缩减 private String CER_BAIDU = "xxxxxxxxxx"; //设置安全证书 public void setSafeOkHttpClient(OkHttpClient.Builder okhttpBuilder) { try {
Android中使用Webview SSL 自签名CA证书安全校验方案
jsxin0816的博客
11-18 2672
Android中使用Webview SSL 自签名证书校验
Android】OkHttp3网络请求SSL证书验证问题绕过解决方案(包括Android 10及以上适配)
BigUncle
11-19 8354
随着SSL越来越普及,目前很多项目后台接口逐渐由过去的IP+PORT转变成了域名+SSL证书,尤其项目设计微信系类、银行类等等,对于这方便都是最基础的强硬要求条件。
android ssl验证https验证
logo616的专栏
10-24 9925
一、关于SSL   1、什么是SSL?  SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。   SSL/TLS协议位于HTTP协议与传输层协议之间,采用公钥技术,为两个应用间的通讯提供加密、完整性校验以

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值