java hostnameverifier_关于HostnameVerifier接口的解读

最新推荐文章于 2024-05-31 11:26:40 发布
最新推荐文章于 2024-05-31 11:26:40 发布
阅读量1.6k 收藏 1
点赞数
文章标签: java hostnameverifier
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31315007/article/details/114725172
版权

在项目中我们需要调用https接口请求。我们使用httpClient,构建HttpClient对象时涉及到使用HostnameVerifier接口实例。

HostnameVerifier接口定义如下:

1 public abstract interfaceHostnameVerifier2 {3 public abstract booleanverify(String paramString, SSLSession paramSSLSession);4 }

仅一个方法,参数paramString为请求地址host;参数paramSSLSession是当前请求的SSLSession,可以获取到证书列表,默认实现类DefaultHostnameVerifier的实现如下:

1 @Override2 public boolean verify(final String host, finalSSLSession session) {3 try{4 final Certificate[] certs =session.getPeerCertificates();5 final X509Certificate x509 = (X509Certificate) certs[0];6 verify(host, x509);7 return true;8 } catch (finalSSLException ex) {9 if(log.isDebugEnabled()) {10 log.debug(ex.getMessage(), ex);11 }12 return false;13 }14 }

接口是用于主机名验证,准确说是验证服务器ca证书中的host是否和请求地址host一致,为什么要进行主机名验证呢?其实目的是加强一层安全防护,防止恶意程序利用中间人攻击。

什么是中间人攻击?

假设有一个攻击者处于“浏览器”和“网站服务器”的通讯线路之间(比如公共WIFI),它的攻击过程如下:

服务器向客户端发送公钥。

攻击者截获公钥,保留在自己手上。

然后攻击者自己生成一个【伪造的】公钥,发给客户端。

客户端收到伪造的公钥后,生成加密hash值发给服务器。

攻击者获得加密hash值,用自己的私钥解密获得真秘钥。

同时生成假的加密hash值,发给服务器。

服务器用私钥解密获得假秘钥。

FIddler就是通过这种方式截获HTTPS信息。

上面问题的根源是因为“缺乏身份认证机制”,需要验证【伪造的】公钥是否是网站服务器的,我们客户端httpClient可以通过验证公钥中的host,防止被中间人攻击。

参考资料:

瞬泉
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
解决HostnameVerifier警告
Alrey的博客
09-24 5429
前言 今天邮箱收到一封官方的邮件,关键内容如下 一个HostnameVerifier警告,说限期不修复就会下架 Help Center 解决方案 如果你和我一样不知道HostnameVerifier是个什么东西,且确认自己没有用过这玩意儿,且项目里也没有这个东西(建议全局搜索一下HostnameVerifier),那么就能确定这个警告肯定是由于第三方库所引发的,这就需要你到你谷歌应用控制台去看看警告的详情信息(一般会在提醒列表里),google一般会告诉你是那个类触发了这个警告 查看谷歌控制台后,看到了如
JAVA_API1.6文档(中文)
04-12
java.lang.reflect 提供类和接口,以获得关于类和对象的反射信息。 java.math 提供用于执行任意精度整数算法 (BigInteger) 和任意精度小数算法 (BigDecimal) 的类。 java.net 为实现网络应用程序提供类。 java....
【Android安全】https安全:HostnameVerifier
Juruo@Security
10-05 3377
【Android安全】https安全:HostnameVerifier
Agile PLM Java Client登录报错javax.net.ssl.SSLKeyException:Hostname verification failed
最新发布
m0_62395566的博客
05-31 191
Agile PLM Java Client登录报错javax.net.ssl.SSLKeyException:Hostname verification failed
如何解决 HostnameVerifier 不安全的问题?
热门推荐
小洋人最happy的专栏
10-31 3万+
问题引入 App提交Google Play时,审核被拒,打回,信息如下: 本文面向的是在应用中采用不安全的 HostnameVerifier 接口实施方式的开发者。在与使用 [setDefaultHostnameVerifier](https://docs.oracle.com/javase/7/docs/api/javax/net/ssl/HttpsURLConnection.html#set...
java hostnameverifier_java – jndi LDAPS自定义HostnameVerifier和TrustManager
weixin_42511098的博客
02-26 198
对于其他人有同样的问题:我找到了一个非常难看的解决方案:import javax.net.SocketFactory;public abstract class ThreadLocalSocketFactoryextends SocketFactory{static ThreadLocal local = new ThreadLocal();public static SocketFactory ...
java url hostname_JAVA中为 HttpsURLConnection 设置自定义的 HostnameVerifier 导致 SNI 失效的问题...
weixin_39616339的博客
02-16 545
由于我们拥有大量的域名,并且这些域名都使用了https,因此https证书的管理成了一个问题。于是我写了一个https证书的监控器,能在https证书出现问题(例如即将到期,已经到期,或者证书错误)时,主动通知管理人员。该https证书监控器在我本机开发运行时一切正常,但当部署到监控服务器后,大量的https证书无法通过检查,出现了上图所示第2项的预警,即https证书监控器认为证书与域名不匹配的...
httpsUrlConnection 如何设置的默认sslcontext和 hostnameverifier?
xiaoliuliu2050的专栏
11-02 3364
https请求接口的时候java是什么时候默认添加ssl 上下文的? HttpURLConnection 子类HttpsURLConnection 子类HttpsURLConnectionImpl 1 url.openConnection()) 2 https 的Handler 调用 protected URLConnection openConnection(URL var1) throws IOException { return this.openConnection(var1, (Pro.
java web接口开发demo
06-03
Java Web接口开发】是Web应用程序开发中的一个重要环节,它允许不同的系统或客户端通过网络进行数据交互。在Java世界中,实现Web接口通常涉及到Servlet、JSP、Spring MVC或者RESTful API等技术。本示例"java web...
Java1.6.0_26
05-15
JDK(Java Development Kit)是Sun Microsystems针对Java开发员的产品。自从Java推出以来,JDK已经成为使用最广泛的Java SDK。JDK 是整个Java的核心,包括了Java运行环境,Java工具和Java基础的类库。JDK是学好Java的...
Java 调用Http Rest接口 例子说明
07-07
Java 调用Http Rest接口 例子说明
JAVA_PInf:Https Java
06-25
标题 "JAVA_PInf:Https Java 类" 暗示了我们关注的是Java编程语言中与HTTPS(安全超文本传输协议)相关的类。HTTPS是HTTP协议的安全版本,它使用SSL/TLS协议来加密通信,保护数据的隐私和完整性。在Java中,处理...
Andriod中HTTPS安全使用
nextdoor6的博客
09-28 964
中间人攻击 1.java中ssl/stl的使用 https即http+ssl/stl组成的网络安全传输协议,目的是防止数据在传输的过程中产生信息泄露或篡改。 https在正确使用的时候是可以防止中间人攻击的,当时由于开发者在开发过程中编码不正确导致https 的错误使用,以至于攻击者可以获取或修改https传输的数据。 Android https的开发过程中常见的
HttpClient4.5 对HostnameVerifier的处理策略
a442828032的博客
05-04 1万+
除了信任验证和客户端身份验证在SSL/TLS协议层进行之外,HttpClient可以有选择的验证目标主机名是否跟服务端存储在X.509认证里的一致,一旦连接已经建立,这种验证可以为服务器认证提供额外的保障,javax.net.ssl.HostnameVerifier 接口代表了主机名验证的一种策略,HttpClient附带了两中javax.net.ssl.HostnameVerifier的实现,注...
关于HostnameVerifier接口解读
weixin_30858241的博客
06-03 2086
在项目中我们需要调用https接口请求。我们使用httpClient,构建HttpClient对象时涉及到使用HostnameVerifier接口实例。 HostnameVerifier接口定义如下: 1 public abstract interface HostnameVerifier 2 { 3 public abstract boolean verify(String pa...
Android通信安全之HTTPS
2301_78835635的博客
11-11 2143
在使用HttpsURLConnection发起 HTTPS 请求的时候,提供了一个自定义的X509TrustManager,未实现安全校验逻辑,下面片段就是当时新浪微博 sdk 内部的代码片段。如果不提供自定义X509TrustManager,代码运行起来可能会报异常(原因下文解释),初学者就很容易在不明真相的情况下提供了一个自定义的X509TrustManager,却忘记正确地实现相应的方法。本文重点介绍这种场景的处理方式。//do nothing,接受任意客户端证书。
Https证书校验不当引起的安全问题
Hubert的博客
02-16 1万+
1. 使用Webview进行HTTPs通信Android系统内置了一些可信机构办法的证书,可用于作HTTPs证书校验。实际上,使用Webview组件进行HTTPs通信,其证书验证环节也是系统默认会去做的。若发现证书不合法,Webview将显示一个空白页面,其错误在onReceivedSslError()这个方法里进行处理。使用Webview进行HTTPs通信应当遵循如下安全规范: 1) on
Android静态安全检测 -> HTTPS敏感数据劫持漏洞
4lwin博客
07-26 1万+
HTTPS敏感数据劫持漏洞 - SSLSocketFactory.setHostnameVerifier方法 1. API 继承关系 java.lang.Object org.apache.http.conn.ssl.SSLSocketFactory 主要方法 getSocketFactory()
java中的HostnameVerifier接口
孤云博客
12-31 1万+
随时随地阅读更多技术实战干货,获取项目源码、学习资料,请关注源代码社区公众号(ydmsq666)、博主微信(guyun297890152)、QQ技术交流群(183198395)。 一、概述 位于javax.net.ssl包下。声明:public interface HostnameVerifier 此类是用于主机名验证的基接口。 在握手期间,如果 URL 的主机名和服务器的标识主...
synchronized java 方法_在Java 8接口方法中不允许“synchronized”的原因是什么?
05-24
Java 8之前,接口中的所有方法都被隐式地视为是抽象的和公共的,可以在实现类中使用`synchronized`关键字来同步方法。但是,在Java 8中,接口中允许定义默认方法和静态方法,这些方法可以在不同的实现类中具有不同...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值