Android中Https通信实现_客户端单向认证校验防止中间人攻击

最新推荐文章于 2024-08-04 10:45:11 发布
最新推荐文章于 2024-08-04 10:45:11 发布
阅读量1.4k 收藏 2
点赞数
分类专栏: 网络通信 文章标签: Https Http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010982507/article/details/85266096
版权
本文详细介绍了如何在Android应用中实现HTTPS通信,重点讨论了客户端单向证书校验以防止中间人攻击。内容包括设置证书校验、域名校验、调用接口的方法,以及使用OkHttp和HttpURLConnection设置信任证书的步骤。同时提供了证书字符串的使用示例和相关学习资源链接。
摘要由CSDN通过智能技术生成

引入HTTPS是为了解决HTTP所带来的三个问题:

  • HTTP是明文传输,数据容易被窃取,因此要加密数据以防止数据中途窃取
  • 认证服务器身份,确保数据发送到正确的服务器
  • 维护数据的完整性,防止数据在传输中被改变,如中间人攻击
    所以本章主要是讲述如何使用OkHttp或HttpUrlConnection来实现自制证书的访问。

设置证书校验

前面博客中写了如何绕过证书访问,那是不安全的访问方式,容易受到中间人攻击,所以客户端需要做双向证书校验,来保证客户端的合法性。

private static SSLSocketFactory setCertificates(InputStream... certificates) {
   
   try {
   
       CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");
       KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
       keyStore.load(null);
       int index = 0;
       for (InputStream certificate : certificates) {
   
           String certificateAlias = Integer.toString(index++);
           keyStore.setCertificateEntry(certificateAlias, certificateFactory.generateCertificate(certificate));
           if (certificate != null) {
   
               certificate.close();
           }
       }
       SSLContext sslContext = SSLContext.getInstance("TLS");
       TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
       trustManagerFactory.init</
最低0.47元/天 解锁文章
ruiurrui
关注
专栏目录
Android面试八股文】1.使用了HTTPS就绝对安全了吗?2.HTTPS 会被抓包吗?3.如何避免被间人抓取数据?
字节卷动
07-16 602
HTTPS是在 HTTP 的基础上加入加密层的协议,用于安全的数据传输。TCP 三次同步握手客户端验证服务器数字证书DH 算法协商对称加密算法的密钥、hash 算法的密钥SSL 安全加密隧道协商完成网页以加密的方式传输,用协商的对称加密算法和密钥加密,保证数据机密性;用协商的 hash算法进行数据完整性保护,保证数据不被篡改。HTTPS 一定是安全的吗?用了HTTPS就安全了吗?HTTPS 会被抓包吗?网络面经:使用HTTPS就绝对安全了吗?
Android应用实现Https双向认证
renzhongrui的博客
01-03 3905
为什么需要双向认证 Https保证的是信道的安全,即客户端和服务端通信报文的安全。但是无法保证中间人攻击,所以双向认证解决的问题就是防止中间人攻击中间人攻击(Man-in-the-MiddleAttack)简称(MITM),是一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接的两台通信计算机之间,这台计算机就称为“间人”。若没有开启双向认证间人可以拦截客户端发送的请求,然后篡改信息再发送到服务端;间人也可以拦截服务端返回的信息,再发送到客户端。所
Android安全之Https中间人攻击漏洞
weixin_34270865的博客
09-19 291
Android安全之Https中间人攻击漏洞 0X01概述 HTTPS,是一种网络安全传输协议,利用SSL/TLS来对数据包进行加密,以提供对网络服务器的身份认证,保护交换数据的隐私与完整性。中间人攻击,Man-in-the-middleattack,缩写:MITM,是指攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使...
Android网络安全:如何防止中间人攻击
最新发布
陆业聪
08-04 970
本文介绍了在Android开发预防中间人攻击的方法,包括使用HTTPS加密通信、实施证书锁定、遵循SSL/TLS最佳实践和验证服务器主机名。这些措施有助于保护用户数据安全,提高应用程序安全性。
Android HTTPS 自制证书实现双向认证(OkHttp + Retrofit + Rxjava)
m0_64382743的博客
12-04 597
SSL协议可分为两层: **SSL记录协议(SSL Record Protocol):**它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。 **SSL握手协议(SSL Handshake Protocol):**它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。 TLS:(Transport Layer Security,传输层安全协议),用于两个应用程序之间提供保密性和数据完整性。TLS 1.
防御中间人攻击Android证书锁定
chuyouyinghe的专栏
10-12 489
中间人攻击(MITM)是一种狡猾且危险的网络威胁,可能严重破坏用户的在线安全和隐私。在这种攻击,未经授权的第三方截取并窃听两个相信彼此直接连接的各方之间的通信,通常是用户和受信任的服务器或网站。攻击者潜入通信流的心位置,因此得名“间人”。证书锁定是一种安全实践,限制应用程序从服务器接受的可信数字证书的数量,以建立安全连接。与仅依赖公钥基础设施(PKI)范 paradigm 不同,PKI有大量证书颁发机构(CA)发行证书,证书锁定要求应用程序仅信任与受信任机构相关联的某些证书或公钥。
基于Androidhttp&https中间人攻击
XXOOYC的专栏
10-13 5457
本文所说的中间人攻击是在同一台Android手机上,监听其他App的网络流量,支持http&https. 原理:通过创建VPN拿到其他APP的所有网络流量。https部分则是通过导入自己的CA,去过https证书验证。 主要技术难点: 1.通过VPN,拿到的是一个个的IP层数据包,比如sync包,fin包,psh包等,需要自己做好状态维护 2.仅针对http的处理还不是很难,但是对Http
AndroidHttps通信实现_忽略证书校验
renzhongrui的博客
12-26 5737
客户端与服务端单向认证即是在客户端的网络请求和webview设置信任所有证书,然后在与服务端进行Https网络通信的时候 概览 TrustManager和HostnameVerifier HttpURLConnection信任所有证书 OkHttp信任所有证书 webview信任所有证书 TrustManager和HostnameVerifier ...
AndroidHTTPS中间人攻击”分析与防御
sinat_36955332的博客
11-30 1276
一、HTTPS的作用 1、 认证服务端与服务器,确保相互之间的信任关系。 2、 加密数据,防止泄露。 3、 验证数据完整性,防止篡改。 二、 HTTPS工作原理 我们这里所关注的Https工作原理,主要指的是SSL协议的握手流程; HTTP +加密+认证+完整性保护=HTTPSHTTPS是身披SSL外壳的HTTPHTTPS并非是应用层的一种新协议,而是HTTP通信接口部分用SSL协议代替,通信时,HTTP先和SSL通信,再由SSL与TCP通信HTTPS采用对称加密和非对称加密两种加密机制
Android开发Https安全规范
caizehui的博客
01-11 1175
前言: 越来越多的Android应用为了android通信安全,将http通信改为Https通信连接,或单向验证或双向验证。 但是如果不按规范将TLS连接对证书等进行安全校验,实际上和http通信没有任何差别,还是有很多的安全风险,如中间人攻击等。 一方面TLS版本要高,如TLS1.2、TLS1.3,因为旧版本的都已发现安全漏洞。另外,就是一些通用部分,如下为阿里Android开发手册部分提到的规范,可以进行参考。 从 2017 年 3 月 1 日起,只要新应用或应用更新采用的 HostnameVerif
android https 双向验证
05-11
android https 双向验证的几个网页
android 使用HttpsURLConnection方式的SSL双向认证
12-08
本demo使用HttpsURLConnection方式的SSL双向认证实现oauth2.0客户端请求方式,并且实现了普通post接口请求,及多图上传的post请求接口,做了网络请求的封装。
Android https 验证,Android Https单向验证
weixin_34727107的博客
05-27 284
最近在维护一个老掉牙的项目,用了HttpClient,而且还要改用Https协议,于是客户端报错了:javax.net.ssl.SSLPeerUnverifiedException: No peer certificate ,这是使用https没有验证证书导致,解决的方式有两种:单向验证和双向验证,单向验证信任所有的证书,有安全风险,双向验证是建立在单向验证的基础上的,然后做了个单向验证:/***...
android https 双向认证
BingHongChaZuoAn的专栏
06-25 1263
一 、首先是 单向认证的原理,首先说下,下面的文章我没看出来是双向认证的原理(我觉得是单向认证的),你们自己理解 https://www.jianshu.com/p/733dc1f06acf 二、实战操作 1. 服务器jks证书库生成 keytool -genkey -alias server -keyalg RSA -keystore server.key.p12 -validity...
android HTTPS双向认证
Froeverlove的博客
12-08 1976
近期项目遇到需要对HTTPS进行双向认证,整理下可以实现的两种方式。
android 开启Https双向认证
raykwok1150的博客
12-05 561
上篇文章有写如何在Android上开启https单向认证的方法,说白了单向认证的过程就是客户端认证服务器的身份。下面我们来讨论服务器端如何认证客户端的身份。 网上很多人都说Android只认识BKS格式的证书,但是查了官方文档以后可以看到 所以,我这里采用PKCS12格式的证书,openssl pkcs12 -export -out leikey1.p12 -inkey leikey.crt
Android平台访问https 双向认证(下)
u013598111的专栏
06-11 1076
访问https双向认证两种方式 public static void httpsRequest(Context c) { try { String path = "https://localhost:8443/123.html"; BasicHttpParams params = new BasicHttpParams(); HttpProtocolParams.
HTTPS工作原理与中间人攻击详解
为了防止中间人攻击,用户应确保浏览器显示的安全锁图标以及URL前的“https://”,同时服务器应使用受信任的证书,以确保客户端能够验证服务器的身份。 五、应对策略 为了增强HTTPS的安全性,可以采取以下措施: - ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ruiurrui

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值