关于HostnameVerifier接口的解读

最新推荐文章于 2022-10-05 23:33:59 发布
最新推荐文章于 2022-10-05 23:33:59 发布
阅读量2k 收藏 2
点赞数
文章标签: 游戏
原文链接:http://www.cnblogs.com/yufecheng/p/10968045.html
版权

在项目中我们需要调用https接口请求。我们使用httpClient,构建HttpClient对象时涉及到使用HostnameVerifier接口实例。

HostnameVerifier接口定义如下:

1 public abstract interface HostnameVerifier
2 {
3   public abstract boolean verify(String paramString, SSLSession paramSSLSession);
4 }

仅一个方法,参数paramString为请求地址host;参数paramSSLSession是当前请求的SSLSession,可以获取到证书列表,默认实现类DefaultHostnameVerifier的实现如下:

 1     @Override
 2     public boolean verify(final String host, final SSLSession session) {
 3         try {
 4             final Certificate[] certs = session.getPeerCertificates();
 5             final X509Certificate x509 = (X509Certificate) certs[0];
 6             verify(host, x509);
 7             return true;
 8         } catch (final SSLException ex) {
 9             if (log.isDebugEnabled()) {
10                 log.debug(ex.getMessage(), ex);
11             }
12             return false;
13         }
14     }

接口是用于主机名验证,准确说是验证服务器ca证书中的host是否和请求地址host一致,为什么要进行主机名验证呢?其实目的是加强一层安全防护,防止恶意程序利用中间人攻击。

什么是中间人攻击?

假设有一个攻击者处于“浏览器”和“网站服务器”的通讯线路之间(比如公共WIFI),它的攻击过程如下:

  1. 服务器向客户端发送公钥。
  2. 攻击者截获公钥,保留在自己手上。
    然后攻击者自己生成一个【伪造的】公钥,发给客户端。
  3. 客户端收到伪造的公钥后,生成加密hash值发给服务器。
  4. 攻击者获得加密hash值,用自己的私钥解密获得真秘钥。
    同时生成假的加密hash值,发给服务器。
  5. 服务器用私钥解密获得假秘钥。

FIddler就是通过这种方式截获HTTPS信息。

上面问题的根源是因为“缺乏身份认证机制”,需要验证【伪造的】公钥是否是网站服务器的,我们客户端httpClient可以通过验证公钥中的host,防止被中间人攻击。

参考资料:

https://blog.csdn.net/fanjint/article/details/81985004

https://www.jianshu.com/p/ad4c7ce94518

转载于:https://www.cnblogs.com/yufecheng/p/10968045.html

weixin_30858241
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
解决HostnameVerifier警告
Alrey的博客
09-24 5427
前言 今天邮箱收到一封官方的邮件,关键内容如下 一个HostnameVerifier警告,说限期不修复就会下架 Help Center 解决方案 如果你和我一样不知道HostnameVerifier是个什么东西,且确认自己没有用过这玩意儿,且项目里也没有这个东西(建议全局搜索一下HostnameVerifier),那么就能确定这个警告肯定是由于第三方库所引发的,这就需要你到你谷歌应用控制台去看看警告的详情信息(一般会在提醒列表里),google一般会告诉你是那个类触发了这个警告 查看谷歌控制台后,看到了如
java hostnameverifier_关于HostnameVerifier接口解读
weixin_31315007的博客
02-26 1693
在项目中我们需要调用https接口请求。我们使用httpClient,构建HttpClient对象时涉及到使用HostnameVerifier接口实例。HostnameVerifier接口定义如下:1 public abstract interfaceHostnameVerifier2 {3 public abstract booleanverify(String paramString, S...
【Android安全】https安全:HostnameVerifier
Juruo@Security
10-05 3368
【Android安全】https安全:HostnameVerifier
如何解决 HostnameVerifier 不安全的问题?
热门推荐
小洋人最happy的专栏
10-31 3万+
问题引入 App提交Google Play时,审核被拒,打回,信息如下: 本文面向的是在应用中采用不安全的 HostnameVerifier 接口实施方式的开发者。在与使用 [setDefaultHostnameVerifier](https://docs.oracle.com/javase/7/docs/api/javax/net/ssl/HttpsURLConnection.html#set...
httpsUrlConnection 如何设置的默认sslcontext和 hostnameverifier?
xiaoliuliu2050的专栏
11-02 3357
https请求接口的时候java是什么时候默认添加ssl 上下文的? HttpURLConnection 子类HttpsURLConnection 子类HttpsURLConnectionImpl 1 url.openConnection()) 2 https 的Handler 调用 protected URLConnection openConnection(URL var1) throws IOException { return this.openConnection(var1, (Pro.
http远程接口调用-httpClient+跳过SSL证书校验
08-04
通过创建自定义的SSLContext和HostnameVerifier,我们可以轻松地绕过SSL校验,从而简化接口调用流程。然而,这必须谨慎使用,避免在生产环境中引入安全风险。在apitest文件中,你可以找到包含HttpClient工具类代码,...
Android使用OkHttp访问自签名证书的接口
06-02
.hostnameVerifier((hostname, session) -> true) // 忽略主机名验证 .build(); ``` 4. 使用OkHttpClient发起请求: ```java Request request = new Request.Builder() .url("https://your-self-signed-url")...
okhttp关于https封装的几个工具类
12-28
可以通过实现HostnameVerifier接口来自定义这一过程。 3. **配置SSLContext**:SSLContext用于管理密钥和证书,它与SSLSocketFactory一起使用,可以创建安全的连接。我们需要加载KeyStore和TrustStore,然后用它们...
一个经过验证的config.h
08-27
一个经过验证的TLS的config配置文件,详细的查看:https://blog.csdn.net/qq_43448742/article/details/108266716 该链接,详细描述了TSL的移植过程
Android项目中使用HTTPS配置的步骤详解
08-30
1. 配置HostnameVerifierHostnameVerifier是用于验证域名和服务器证书中域名是否匹配的接口。在Android中,我们可以使用OkHttp的默认实现,或者自定义一个HostnameVerifier来实现域名的验证。 2. 配置...
Https单向认证忽略证书工具类
12-27
Https单向认证忽略证书工具类,自定义TrustManager和HostnameVerifier,适用于OkHttp和HttpURLConnection
Android静态安全检测 -> HTTPS敏感数据劫持漏洞
4lwin博客
07-26 1万+
HTTPS敏感数据劫持漏洞 - SSLSocketFactory.setHostnameVerifier方法 1. API 继承关系 java.lang.Object org.apache.http.conn.ssl.SSLSocketFactory 主要方法 getSocketFactory()
Https证书校验不当引起的安全问题
Hubert的博客
02-16 1万+
1. 使用Webview进行HTTPs通信Android系统内置了一些可信机构办法的证书,可用于作HTTPs证书校验。实际上,使用Webview组件进行HTTPs通信,其证书验证环节也是系统默认会去做的。若发现证书不合法,Webview将显示一个空白页面,其错误在onReceivedSslError()这个方法里进行处理。使用Webview进行HTTPs通信应当遵循如下安全规范: 1) on
Andriod中HTTPS安全使用
nextdoor6的博客
09-28 962
中间人攻击 1.java中ssl/stl的使用 https即http+ssl/stl组成的网络安全传输协议,目的是防止数据在传输的过程中产生信息泄露或篡改。 https在正确使用的时候是可以防止中间人攻击的,当时由于开发者在开发过程中编码不正确导致https 的错误使用,以至于攻击者可以获取或修改https传输的数据。 Android https的开发过程中常见的
HTTPS网络请求原理与实现
xingzhong128的博客
10-23 1358
HTTP协议属于明文传输,在公共网络上传输数据时很容易被不法分子截获到,对于像登录、转账之类比较私密的信息传输不适合用HTTP协议,为此业界又推出了HTTPS协议,它实际在HTTP协议和TCP协议之间添加了安全套接字(SSL,Secure Socket Layer)层,SSL层借助于加密解密过程实现网络上传输加密内容,不法分子即使获取到了密文,在没有正确的解密秘钥情况下无法获的真正的用户数据信息。...
通信握手校验-------HostnameVerifier
Caesar Home
12-24 2633
[强制]在实现的HostnameVerifier子类中,需要使用verify函数效验服务器主机名的合法性,否则会导致恶意程序利用中间人攻击绕过主机名效验。 说明: 在握手期间,如果URL的主机名和服务器的标识主机名不匹配,则验证机制可以回调此接口实现程序来确定是否应该允许此连接,如果回调内实现不恰当,默认接受所有域名,则有安全风险。 反例: HostnameVerifier hnv=ne...
HttpClient4.5 对HostnameVerifier的处理策略
a442828032的博客
05-04 1万+
除了信任验证和客户端身份验证在SSL/TLS协议层进行之外,HttpClient可以有选择的验证目标主机名是否跟服务端存储在X.509认证里的一致,一旦连接已经建立,这种验证可以为服务器认证提供额外的保障,javax.net.ssl.HostnameVerifier 接口代表了主机名验证的一种策略,HttpClient附带了两中javax.net.ssl.HostnameVerifier的实现,注...
OkHttp调用HTTPS遇到的问题之:SSLPeerUnverifiedException
notHeadache的博客
08-05 1万+
关于OkHttp OkHttp学习 Https学习 最近在用OkHttp调https接口的时候遇到一个问题 javax.net.ssl.SSLPeerUnverifiedException: peer not authenticated. 这是由于https请求证书验证问题,直接请求一般都会失败。一般是做证书验证处理或者忽略证书验证。 可是给我https接口的小伙伴说,他们都没使用证书加密。我
Android静态安全检测 -> 主机名弱校验
4lwin博客
07-29 6035
主机名弱校验 - HostnameVerifier.verify方法 1. API 继承关系 javax.net.ssl.HostnameVerifier public interface HostnameVerifier 主要方法 verify(String hostname, SSLSession
HostnameVerifier的功能
最新发布
06-12
HostnameVerifier是Java中用于验证SSL/TLS握手的主机名验证器接口,它的功能是确保客户端连接的主机名与服务器证书中的主机名一致,以防止中间人攻击。当客户端与服务器建立SSL/TLS连接时,HostnameVerifier会首先检查服务器证书中的主机名是否与实际连接的主机名匹配,如果匹配成功,则SSL/TLS握手继续进行,否则握手失败。这个检查过程是在SSL/TLS握手的“ServerHello”消息中完成的。如果主机名验证失败,则客户端会拒绝连接服务器,从而保护用户的安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值