Volley支持https的3种方法小结

最新推荐文章于 2024-05-15 13:07:41 发布
最新推荐文章于 2024-05-15 13:07:41 发布
阅读量8k 收藏 8
点赞数
分类专栏: Android 互联网 文章标签: https Volley 网络安全 证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lintax/article/details/69761913
版权

最近遇到网络安全方面的问题,所以要使用https,由于在工程中使用了Volley,所以对Volley的https做了一些研究,当然大部分是参考的网络上一些前辈们的成果,自己进行一下总结:

https涉及到证书的认证方式,我就按认证的类型来说明:

1,全部信任证书;
2,信任指定证书;
3,信任系统提供的证书(CA颁发);

1,全部信任证书

添加HTTPSTrustManager类,如下:

import android.content.Context;
import java.io.InputStream;
import java.security.KeyManagementException;
import java.security.KeyStore;
import java.security.NoSuchAlgorithmException;
import java.security.SecureRandom;
import java.security.cert.Certificate;
import java.security.cert.CertificateFactory;
import java.security.cert.X509Certificate;
import javax.net.ssl.HostnameVerifier;
import javax.net.ssl.HttpsURLConnection;
import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLSession;
import javax.net.ssl.TrustManager;
import javax.net.ssl.TrustManagerFactory;
import javax.net.ssl.X509TrustManager;

public class HTTPSTrustManager implements X509TrustManager {

    private static TrustManager[] trustManagers;
    private static final X509Certificate[] _AcceptedIssuers = new X509Certificate[] {};

    @Override
    public void checkClientTrusted(
            java.security.cert.X509Certificate[] x509Certificates, String s)
            throws java.security.cert.CertificateException {
        // To change body of implemented methods use File | Settings | File
        // Templates.
    }

    @Override
    public void checkServerTrusted(
            java.security.cert.X509Certificate[] x509Certificates, String s)
            throws java.security.cert.CertificateException {
        // To change body of implemented methods use File | Settings | File
        // Templates.
    }

    @Override
    public X509Certificate[] getAcceptedIssuers() {
        return _AcceptedIssuers;
    }

    public static void allowAllSSL() {
        HttpsURLConnection.setDefaultHostnameVerifier(new HostnameVerifier() {

            @Override
            public boolean verify(String arg0, SSLSession arg1) {
                // TODO Auto-generated method stub
                return true;
            }

        });

        SSLContext context = null;
        if (trustManagers == null) {
            trustManagers = new TrustManager[] { new HTTPSTrustManager() };
        }

        try {
            context = SSLContext.getInstance("TLS");
            context.init(null, trustManagers, new SecureRandom());
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
        } catch (KeyManagementException e) {
            e.printStackTrace();
        }
        HttpsURLConnection.setDefaultSSLSocketFactory(context.getSocketFactory());
    }
}

再在创建 RequestQueue 时,添加一句:

HTTPSTrustManager.allowAllSSL();//信任所有证书
RequestQueue mQueue = Volley.newRequestQueue(getActivity());

后面就可以根据需要添加请求了:

mQueue.add(request);

2,信任指定证书

先要获取到证书,我们可以放到assert目录下,例如这里使用的证书的文件名为“root.crt”。
然后通过如下函数来读取,并返回SSLSocketFactory:

    //生成SSLSocketFactory
    private SSLSocketFactory initSSLSocketFactory() {
        //生成证书:Certificate
        CertificateFactory cf = null;
        SSLSocketFactory factory = null;
        try {
            cf = CertificateFactory.getInstance("X.509");
            InputStream caInput = getActivity().getAssets().open("root.crt");
            Certificate ca = null;
            try {
                ca = cf.generateCertificate(caInput);
            } finally {
                try {
                    caInput.close();
                } catch (IOException e) {
                    e.printStackTrace();
                }
            }

            //初始化公钥:keyStore
            String keyType = KeyStore.getDefaultType();
            KeyStore keyStore = KeyStore.getInstance(keyType);
            keyStore.load(null, null);
            keyStore.setCertificateEntry("ca", ca);

            //初始化TrustManagerFactory
            String algorithm = TrustManagerFactory.getDefaultAlgorithm();
            TrustManagerFactory managerFactory = TrustManagerFactory.getInstance(algorithm);
            managerFactory.init(keyStore);

            //初始化sslContext
            SSLContext sslContext = SSLContext.getInstance("TLS");
            sslContext.init(null, managerFactory.getTrustManagers(), null);
            factory = sslContext.getSocketFactory();

        } catch (CertificateException e) {
            e.printStackTrace();
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
        } catch (KeyStoreException e) {
            e.printStackTrace();
        } catch (IOException e) {
            e.printStackTrace();
        } catch (KeyManagementException e) {
            e.printStackTrace();
        }

        return factory;
    }

然后,在创建 RequestQueue 时,按如下方式来执行:

//生成SSLSocketFactory
SSLSocketFactory sslSocketFactory = initSSLSocketFactory();

//HurlStack两个参数默认都是null,如果传入SSLSocketFactory,那么会以Https的方式来请求网络
HurlStack stack = new HurlStack(null, sslSocketFactory);

//传入处理Https的HurlStack
mQueue = Volley.newRequestQueue(this.getActivity(),stack);

后面添加请求的方法是一样的:

mQueue.add(request);

3,信任系统提供的证书(CA颁发)

先了解下什么是系统提供的证书,看看下面的说明:
HTTPS通信所用到的证书由CA提供,需要在服务器中进行相应的设置才能生效。另外在我们的客户端设备中,只要访问的HTTPS的网站所用的证书是可信CA根证书签发的,如果这些CA又在浏览器或者操作系统的根信任列表中,就可以直接访问。
也就是说,Android系统有一个根信任列表,若我们的证书是这个列表中的某个根证书的子证书,就不需要特别指定了。

通常情况,就是使用https,而不做任何特别指定,就是使用系统的证书了。
可是Volley直接访问https,我遇到了问题:
最初我的工程,由http直接切换到https时,是不能运行的,通过上面的方法,信任所有证书,或者信任指定证书,可以进行https的访问了。
但是前面两种方法各有一些缺陷:

全部信任证书:不安全,Google也不推荐,据我个人了解,就是防不住中间人攻击。

信任指定证书:这种方式是可以防止中间人攻击的。
但是问题可能会出在App上:这个证书直接放在app中,若是被反编译出来,证书会被人获得,仍然会导致某些风险;
另外就是,若是指定的证书变化了,就需要更换所有的app,在用户量较大的情况下,这几乎是不可能完成的任务。

所以,若是在可能的情况下,最好是使用正式认证的证书。这时,也不需要我们去指定证书了,Android系统就已经维护了一套了。

怎么实现呢?经过一番搜索,有人说新版本的Volley已经支持https了。难道是版本的问题?

我从如下地址下载了一个较新的包(V1.0.19):
http://mvnrepository.com/artifact/com.mcxiaoke.volley/library
然后替换了系统中的旧的jar包,果然好了!

这时,使用Volley就是普通的操作方式:
先创建 RequestQueue :

RequestQueue mQueue = Volley.newRequestQueue(getActivity());

后面就是根据需要添加请求了:

mQueue.add(request);

最后总结一下:

1,全部信任证书:毕竟是https,要比http安全多了,但是还存在被中间人攻击的风险;
2,信任指定证书:保证了网络传输链路的安全,但是App本身存在泄漏证书的风险。另外,更换证书时比较麻烦。
3,信任系统提供的证书(CA颁发);这种方式最安全,但是可能需要花钱。也可以找些免费的证书,但是使用期限可能有较大的限制。
这三种方式各有特色,具体采用哪种方式,还是需要根据项目的实际情况来确定。

参考:

http://www.lai18.com/content/1040213.html
http://www.cnblogs.com/punkisnotdead/p/4788199.html

lintax
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Android Volley框架支持https请求
hlglinglong的专栏
01-09 6695
Android Volley框架支持https请求
volley支持https请求
03-23
volley添加https请求支持
android 使用https请求
JerryWu145的专栏
11-07 1万+
今年年初就已经吵吵着要把大部分的服务端由http转成https了,但是由于很多公司还是比较懒得,而且有的公司可能不想再多掏一些钱去对自己的网址加入CA认证,所以这件事就一直拖下来了,但是随着用户数据越来越多暴露在一些不法分子眼前,所以信息安全越来越被用户重视,一些金融、贷款公司已经开始使用这种技术了,今天就来讲解一下android上面的通过https对服务器进行请求。 首先先来解答一下疑惑,我们
项管让你在项目上以HTTPS协议访问,你能说你不会配吗?_创建trustmanager(1)
最新发布
2401_84281720的博客
05-15 242
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
Volley请求HTTPS
10-17
支持安卓6.0,基于Volley网络请求实现post,delete,get,put,上传下载图片以及HTTPS请求。
Android进阶——Volley+Https给你的安卓应用加上SSL证书
贵宝的博客
10-30 1万+
背景       作为开发人员,我们需要对网络访问的安全性加以保证,这样才能在基本上保证我们的数据不受到修改和攻击。笔者的项目之前用的是Volley框架访问的网络,基于http协议。现在我们需要使用更为安全的httpshttps简单的理解就是http+ssl,对于SSL证书,自己签发也行,花钱购买也可以,孰优孰劣,大家自行百度了解。      因为是基于Volley框架访问的网络,所以网上搜
Volley支持https的jar包(修改源码信任所以证书)
01-16
Volley支持https的jar包(修改源码信任所以证书)
volley访问https需要用到的类与库
12-02
一种常见的方式是使用 OkHttp,它是一个强大的网络库,提供了对 HTTPS 的良好支持。以下是如何在 Volley 中集成 OkHttp 的步骤: 1. 添加依赖:首先,你需要在项目的 build.gradle 文件中引入 OkHttp 库。添加如下...
Volley支持https的jar包(信任所以证书)
01-13
Volley支持https的jar包(信任所以证书)
Android Volley增加Https支持,允许SSL
LeBron_Six的专栏
01-11 5188
Volley默认是不支持Https请求的。如果Https服务器是单向认证,则增加以下允许SSL就可以。 先增加SsX509TrustManager类,代码如下 package com.lakala.net.volley.toolbox; import java.security.KeyManagementException; import java.security.NoSuchAlgo
Google Volley框架之https请求
杨成勇
06-09 1593
先插一句,Google出的volley框架本身是支持https请求的,但是只是针对有第三方机构认证过的。 如果自己随便在网上搞的一个证书,那volley是不支持请求的。 本文讲下如何让volley支持自己搞的https证书。 修改volley源码:com.android.myvolley.toolbox.HurlStack /** * Create an
Java 和 HTTP 的那些事(四) HTTPS 和 证书
赶路人儿
11-07 1408
介绍了java体系下https和ssl知识点
新浪微博请求数据出错(Android Volley Https证书不信任)的解决方案
心砚THU的专栏
10-06 9362
今天在调用新浪微博android sdk时出现Https证书不信任的问题,查了很多资料终于解决了,在这里把解决方案分享给大家。
Volley 信任自签名的 Https 证书
A.Z.L的博客
09-18 1690
Volley 是安卓网络编程中常用的框架。但它默认使用的是Http协议,如果想要使用自签名的证书来连接自己的Https服务器,需要做一点设置。首先是讲证书导入到InputStream里面来,这个方法很多,我是将一个常量来保存证书,运行时来导入InputStream。InputStream ins = new ByteArrayInputStream(Constants.CERTIFICATION.g
Android开发之信任所有https证书
qq_39630986的博客
08-02 2099
项目中的图片显示不出来,看了是https证书问题,就百度了解决这个问题,代码如下: import java.security.KeyManagementException; import java.security.NoSuchAlgorithmException; import java.security.SecureRandom; import java.security.cert.Ce...
Android中进行https请求信任证书问题(效率解决,小白适用)
热门推荐
我鱼的博客
01-19 1万+
前言 Volley 框架信任所有https证书 基于Okhttpclient信任https所有证书 前言 在Android开发项目中难免要进行https请求,如果你也遇到这样的问题,那么我想这片博客能对你有些帮助。 java.security.cert.CertPathValidatorException: Trust anchor for certification path not fou
Android 上 Https 双向通信— 深入理解KeyManager 和 TrustManagers
chituhuan的专栏
04-27 1万+
Android 客户端的配置 生成SSLContext 和Http 客户端关联 Android 作为Https 的服务端 AndroidService 支持客户端证书请求 使用认证链做认证 使用hugo 观察SSL handshark 过程 服务端发送证书 服务端发送 Certificate Request 客户端校验 客户端发送证书 concrypt 库的bug Two way s...
Android中的HTTPS问题
大前端程序员的自我修养
07-09 2443
在Android中涉及HTTPS最多的两个地方:一个是WebView,一个是OKHttp。在开发调试阶段,我们的CA证书往往并不是正式,这样就会发生WebVIew显示不了HTTPS页面,OKHttp访问不了HTTPS接口的问题。本文主要介绍了这两个问题产生的原因以及如何解决。
volley文件上传
08-03
引用[3]中提到,要实现Volley文件上传,我们需要先了解表单的提交。文件上传实质上就是表单的提交,只不过提交的数据包含文件类型。因此,我们可以使用Volley的表单提交功能来实现文件上传。具体的实现方法可以参考...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值