Android Retrofit HTTPS 单向认证 双向认证

置顶 已于 2023-12-28 16:02:38 修改
阅读量3.2k 收藏 5
点赞数 1
文章标签: android https 双向认证 keysstore Retrofit
于 2017-06-12 16:25:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q714093365/article/details/73123585
版权

由于最近要做一个安全性比较高的项目,因此需要用到HTTPS进行双向认证。客户端基于Retrofit + Rxjava+EventBus来实现

基于Retrofit实现HTTPS思路

由于Retrofit是基于OkHttp实现的,因此想通过Retrofit实现HTTPS需要给Retrofit设置一个OkHttp代理对象用于处理HTTPS的握手过程。代理代码如下: 
mOkHttpClient = new OkHttpClient.Builder()
        .hostnameVerifier(new UnSafeHostnameVerifier())//添加hostName验证器
        .sslSocketFactory(sslSocketFactory)
        .build();

Retrofit retrofit = new Retrofit.Builder()
        .addConverterFactory(ScalarsConverterFactory.create())//增加返回值为字符串的支持
        .baseUrl(BASE_URL)//主机地址
        .client(mOkHttpClient)//注意这里要给retrofit 设置okhttpclient
        .build();

private class UnSafeHostnameVerifier implements HostnameVerifier {
    @Override
    public boolean verify(String hostname, SSLSession session) {
        return true;//自行添加判断逻辑,true->Safe,false->unsafe
    }
}
  
 
 
上面代码可以看到使用Retrofit请求HTTPS主要使用SSLSocketFactory,所以我们只需构建sslSocketFactory。
 
 
在我的例子中,我有一个pem文件,它包含一个证书和一个加密的私钥,用于相互SSL身份验证。 因此我的pem文件如下所示:

 
 
-----BEGIN RSA PRIVATE KEY-----
......
-----END RSA PRIVATE KEY----- 

 
 
-----BEGIN CERTIFICATE-----
......
-----END CERTIFICATE-----
 
 
如果你得到的私钥如上所示,那你还需要使用openssl执行PKCS8编码:
 
 
openssl pkcs8 -topk8 -in rsa_private_key.pem -out pkcs8_rsa_private_key.pem -nocrypt
 
 
得到如下私钥
 
 
 
 
-----BEGIN PRIVATE KEY-----
......
-----END PRIVATE KEY-----
 
 
进入代码正文
 
 

   创建一个新的java密钥存储并导入私钥和证书: 
  
   
  
KeyStore ks = KeyStore.getInstance(KeyStore.getDefaultType());
ks.load(null, keypass.toCharArray());
ks.store(new FileOutputStream(getExternalFilesDir(null) + "/xxx.keystore"), keypass.toCharArray());
ks.load(new FileInputStream(getExternalFilesDir(null) + "/xxx.keystore"), keypass.toCharArray());

//读取证书文件
FileInputStream fileInputStream = new FileInputStream(file);
byte[] bytes = new byte[fileInputStream.available()];
fileInputStream.read(bytes);
//转化为字符串
String str = new String(bytes);
//提取出私钥和证书
String[] s = str.replace("-----BEGIN PRIVATE KEY-----\n", "").split("\n-----END PRIVATE KEY-----\n");

//  获取指定目录下的证书
Certificate crt1 = CertificateFactory.getInstance("X509").generateCertificate(new FileInputStream(file));
fileInputStream.close();

byte[] bytes1 = Base64.decode(s[0], Base64.DEFAULT);
//主要代码
KeyFactory kf = KeyFactory.getInstance("RSA");
PKCS8EncodedKeySpec keysp = new PKCS8EncodedKeySpec(bytes1);
PrivateKey ff = kf.generatePrivate(keysp);
//证书链
Certificate[] chain = new Certificate[]{crt1};
String mainInformation = ((X509Certificate) crt1).getSubjectX500Principal().getName();
//获取别名
String alias = mainInformation.substring((mainInformation.indexOf("=") + 1), mainInformation.indexOf(","));
//组合,并添加证书到KeyStore
ks.setKeyEntry(alias , ff, keypass.toCharArray(), chain);
 
 
 

 

 

 
 
            //秘钥管理器
            KeyManagerFactory kmf = KeyManagerFactory.getInstance("X509");
            kmf.init(ks, keypass.toCharArray());
            KeyManager[] keyManagers = kmf.getKeyManagers();

            SSLContext sslContext = SSLContext.getInstance("TLS");
            sslContext.init(keyManagers, null, null);

            SSLSocketFactory sslSocketFactory = sslContext.getSocketFactory();
 由于我公司服务器证书是ca认证的所以不需要验证TrustManagerFactory 
 
 
 
 如果使用的是p12格式证书则只能把证书当作文件的形式读取: 
 
   
 
        try {
            //创建KeyStore

KeyStore keyStore = KeyStore.getInstance("PKCS12");


keyStore .load(getResources().openRawResource(R.raw.certificate_with_key_6), "U3T2C24RW8".toCharArray());

           //秘钥管理器
            KeyManagerFactory kmf = KeyManagerFactory.getInstance("X509");
            kmf.init(ks, keypass.toCharArray());
            KeyManager[] keyManagers = kmf.getKeyManagers();

            SSLContext sslContext = SSLContext.getInstance("TLS");
            sslContext.init(keyManagers, null, null);

            SSLSocketFactory sslSocketFactory = sslContext.getSocketFactory();


        } catch (Exception e) {
            e.printStackTrace();
            Log.e("MainActivity", "-------错误111------" + e.toString());
        }
 
 
   

 


  到此基本代码已完结,欢迎提出意见: 

 

 
 

 


                

        

        

    

  


    

      

        

            

              
                
                  水样_年华
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
2024年【胖虎的逆向之路】Android自制Https证书实现双向认证(1),跳槽面试大厂被拒怎么办

				
			

			

				

					2401_84520026的博客
				

				

					05-06
					
					885
					
				

			

		

		

			
				
这里的公钥服务端的公钥,这里的签名是指:用hash散列函数计算公开的明文信息的信息摘要,然后采用 CA 的私钥对信息摘要进行加密,加密完的密文就是签名。确保将正确的客户端证书和私钥文件(通常为 client.p12 或 client.pfx)放置到 Android 项目中,并使用相应的资源 ID 替换。SSL 服务器允许客户的浏览器使用标准的公钥加密技术和一些可靠的认证中心(CA)的证书,来确认服务器的合法性~证书有效期: 在创建证书时,设置适当的有效期限,确保证书在过期之前能够持续有效。

			
		

	



                

              
                



	

		

			

				
					
Retrofit中如何正确的使用https

					
热门推荐

				
			

			

				

					Floating Cat
				

				

					09-24
					
					3万+
					
				

			

		

		

			
				
很多文章对客户端https的使用都是很模糊的,不但如此,有些开发者直接从网上拷贝一些使用https的“漏洞”代码,无形之中让客户端处在一种高风险的情况下。今天我们就对有关https使用的问题进行深入的探讨,希望能解决以往的困惑。对于https,需要了解其工作原理的可以参考https是如何工作的?,更多关于https的问题我会站在客户端的角度在后面陆陆续续的写出来。证书锁定 简介首先来说说什么是证书锁

			
		

	



                


  
              

                


	

		

			

				
					
Retrofit遇上HTTPS--关于HTTPS的那些事

				
			

			

				

					smily的博客
				

				

					02-12
					
					7865
					
				

			

		

		

			
				
* 本篇文章已授权微信公众号 guolin_blog (郭霖)独家发布

由于前不久苹果公司已经强制IOS应用必须使用HTTPS协议开发,虽然Google没有强制开发者使用HTTPS,但相信不久的将来Android也会跟随IOS全面转向HTTPS。因此,HTTPS的学习也是相当重要。本篇文章涉及到的代码不多,主要内容是对HTTPS协议的讲解,最后将结合Retrofit实现HTTPS的单双向认证。
.........

			
		

	





	

		

			

				
					
android Retrofit 使用 HTTPS

				
			

			

				

					ff_hh的博客
				

				

					04-19
					
					1791
					
				

			

		

		

			
				
   创建 OkHttpClient 配置基本信息private static OkHttpClient okHttpClient = new OkHttpClient.Builder()
        .writeTimeout(TIMEOUT, TimeUnit.SECONDS)
        //配置SSlSocketFactory
        .sslSocketFactory(S...

			
		

	



		

			
		



	

		

			

				
					
android Retrofit 配置https证书

				
			

			

				

					一个人的暗
				

				

					06-20
					
					2438
					
				

			

		

		

			
				
使用环境:

   不愿项目数据外泄

使用方法:



集成报错:


​​​​Caused by: javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found.
2020-06-18 12:46:51.004 31586-31586/com.fanfareknowledge.pickupkin...

			
		

	





	

		

			

				
					
Retrofit使用https

				
			

			

				

					小天花藏
				

				

					12-28
					
					246
					
				

			

		

		

			
				
最近CTO使用第三方app评测工具检测到项目中没有使用https。接口的请求地址都是https的只是都设置了忽略证书…
证书
在PC上https的证书是cer格式,但是Android的似乎不支持,反正我使用cer的证书报了"Trust anchor for certification path not found"这个错误。网上看到有人将cer证书转换成bks证书问题就完美解决了。
BKS证书制作...

			
		

	





	

		

			

				
					
Android HTTPS 双向认证(基于OkHttp + Retrofit + Rxjava)

				
			

			

				

					Super_Ks的博客
				

				

					05-07
					
					886
					
				

			

		

		

			
				
今天从这位大神这学到了,权当记录一下了。

先介绍下HTTPS吧

简单来说,HTTPS就是“安全版”的HTTP,HTTPS = HTTP + SSLHTTPS相当于在应用层和TCP层之间加入了一个SSL(或TLS),SSL层对从应用层收到的数据进行加密。TLS/SSL中使用了RSA非对称加密,对称加密以及HASH算法。

RSA算法基于一个十分简单的数论事实:将两个大素数相乘十分容易,...

			
		

	





	

		

			

				
					
Android HTTPS 自制证书实现双向认证(OkHttp + Retrofit + Rxjava)

				
			

			

				

					m0_64382743的博客
				

				

					12-04
					
					595
					
				

			

		

		

			
				
SSL协议可分为两层:


**SSL记录协议(SSL Record Protocol):**它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。


**SSL握手协议(SSL Handshake Protocol):**它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。


TLS:(Transport Layer Security,传输层安全协议),用于两个应用程序之间提供保密性和数据完整性。TLS 1.

			
		

	





	

		

			

				
					
Android实现https双向认证/单向认证 okhttp+Retrofit+https

				
			

			

				

					u011511057的专栏
				

				

					01-03
					
					3225
					
				

			

		

		

			
				
Android实现https双向认证/单向认证 okhttp+Retrofit+https
随着android版本的提升,和各个应用对通信安全的要求,https成为我们不得不去面对的问题
在开始本篇之前,首先最好是看下https通信原理,送上大神连接https://www.jianshu.com/p/07b055544123
看图说话,图片(取自上面链接中)

如果你已经看过https通信原理,应...

			
		

	





	

		

			

				
					
android 服务器证书校验,Android HTTPS证书验证的简单方式

				
			

			

				

					weixin_39607873的博客
				

				

					05-26
					
					2110
					
				

			

		

		

			
				
1. 背景与需求近期在做IP切换的HTTPS访问时,遇到了一些问题:客户端如何进行HTTPS的证书验证。其实对于一般的项目基本都是做的单向验证,即在客户端证书或者HOST的验证;对于金融、银行相关的项目才会使用的双向验证,客户端与服务端之间都要对彼此进行验证,以防止中间人进行攻击。2.实现目标本文记录的是:客户端实现对HOST的验证,这样基本满足一般项目的需求,也不需要客户端内置证书,引起更新时候...

			
		

	





	

		

			

				
					
Android-retrofit2极简封装极简接入

				
			

			

				

					08-13
				

			

		

		

			
				
retrofit2 极简封装,极简接入

			
		

	





	

		

			

				
					
Retrofit2::mushroom: Rxjava2+Retrofit2二次封装。动态代理实现token过期自动刷新,以及https相关配置,https双向认证

				
			

			

				

					05-29
				

			

		

		

			
				
Retrofit2
该项目针对如下json数据格式进行封装
{
  "code": 200,
  "message": "成功",
  "results": {
    ...
   }
}
一、使用方法:
1.Post请求
RetrofitHelper.getApiService()
                .login(getParameters())
                .compose(RxUtil.rxSchedulerHelper(this, true))
                .subscribe(new ResponseObserver<LoginResponse>() {
                    @Override
                    public void onSuccess(LoginResponse 

			
		

	





	

		

			

				
					
retrofit遇上https自签名证书

				
			

			

				

					丑丑鱼的博客
				

				

					06-06
					
					6272
					
				

			

		

		

			
				
最近来了家新公司,后台设计在非线上环境用自签名证书,线上环境用CA证书,然后发了份.cer公钥给我.让我在客户端处理一下.我查了很多博客,只言片语的, 
HTTPS的流程也比较长, 
今天调试好了,贴出连续的代码给大家看一下.https有2种情况 单向验证和双向验证 
单向认证:客户端通过直接读取后台给的公钥验证握手 
    比如直接读取cer文件或者直接把公钥写在代码里. 
双向认证:客户的有公

			
		

	





	

		

			

				
					
android https——okhttp实现https请求

				
			

			

				

					boolean的博客
				

				

					10-23
					
					1万+
					
				

			

		

		

			
				
定义: 
HTTPS全称为Hypertext Transfer Protocol over Secure Socket Layer 
中文含义为“超文本传输协议在安全加密字层” 
简单来说就是加密数据传输和安全连接。https和http有什么区别 
在HTTP的之下加入了SSL (Secure Socket Layer),安全的基础就靠SSLSSL位于TCP/IP和HTTP协议之间https

			
		

	





	

		

			

				
					
Android使用okhttp进行自制证书的双向SSL验证

				
			

			

				

					z879381359的博客
				

				

					06-04
					
					2217
					
				

			

		

		

			
				
由于互联网全面普及,未来网络安全这块的发展空间很大的。随着物联网的不断应用,人们的生活和网络已经密不可分,网络上承载着数以亿计的各种信息,这些数据信息是个人、企业甚至是国家的战略性资源,所以保障他们的安全是一件非常重要的事情。因此,在未来,各个企业定会在网络安全这块倾尽余力。

 所以为了保障网络安全,最近公司也在做双向验证的https接口,和其它企业进行对接。但是发现网上针对双向验证的...

			
		

	





	

		

			

				
					
Android  Retrofit网络请求https处理

				
			

			

				

					pwbqpwbq的博客
				

				

					12-15
					
					1114
					
				

			

		

		

			
				
因为Retrofit本身的okhttp不能直接请求证书不安全的https,若加了SSL证书的话,可用以下方法解决:

第一步:下载jar包

jdk默认情况下是不支持BKS证书格式,需要额外下载jar包,具体步骤如下:

1、下载jar包,下载地址 https://www.bouncycastle.org/download/bcprov-ext-jdk15on-154.jar

2、将下载好的bcprov-ext-jdk15on-154.jar复制到%JDK_HOME%\jre\lib\ext下

3、用文

			
		

	





	

		

			

				
					
Retrofit绑定证书实现HTTPS单项认证

				
			

			

				

					qq_28898075的博客
				

				

					04-20
					
					944
					
				

			

		

		

			
				
客户端内置服务器的证书,我们在校验服务端证书的时候只比对和App内置的证书是否完全相同,如果不同则断开连接。那么此时再遭遇中间人攻击劫持我们的请求时由于黑客服务器没有相应的证书,此时HTTPS请求校验不通过,则无法与黑客的服务器建立起连接。那么接下来我们就结合Retrofit以访问12306为例来实现HTTPS的单项认证。 首先从12306网站下载签名证书,并放置到我们项目资源目录raw下。然后根...

			
		

	





	

		

			

				
					
使用Retrofit Https请求

				
			

			

				

					哦慧君
				

				

					08-08
					
					3224
					
				

			

		

		

			
				
原文地址:http://stackoverflow.com/questions/27716001/how-to-post-https-request-using-retrofit


public static OkHttpClient getUnsafeOkHttpClient() {

    try {
        // Create a trust manager that do

			
		

	





	

		

			

				
					
Android HTTPS 自制证书实现双向认证(OkHttp + Retrofit + Rxjava)(1)

					
最新发布

				
			

			

				

					2401_84149875的博客
				

				

					05-10
					
					901
					
				

			

		

		

			
				
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数初中级Android工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此我收集整理了一份《2024年Android移动开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点!

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 1

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值