深入剖析OkHttp系列(四) 来自官方的HTTPS

最新推荐文章于 2024-07-21 17:03:23 发布
最新推荐文章于 2024-07-21 17:03:23 发布
阅读量125 收藏
点赞数
文章标签: 移动开发
原文链接:https://juejin.im/post/5b74cd82f265da280b77532e
版权

HTTPS

OkHttp attempts to balance two competing concerns: Connectivity to as many hosts as possible. That includes advanced hosts that run the latest versions of boringssl and less out of date hosts running older versions of OpenSSL. Security of the connection. This includes verification of the remote webserver with certificates and the privacy of data exchanged with strong ciphers.

OkHttp试图平衡两个相互竞争的问题:
.连接尽可能多的主机。 包括运行在最新版本boringssl上的高级主机和运行在旧版OpenSSL上的过时的主机。
.连接的安全性。 包含使用证书验证远程的服务器以及使用强密码交换的数据的隐私。

When negotiating a connection to an HTTPS server, OkHttp needs to know which TLS versions and cipher suites to offer. A client that wants to maximize connectivity would include obsolete TLS versions and weak-by-design cipher suites. A strict client that wants to maximize security would be limited to only the latest TLS version and strongest cipher suites.

在写上与HTTPS服务端的连接时, OkHtt需要知道需提供哪些TLS版本和密码序列。 希望最大化连接的客户端应该包括过时的TLS版本和弱密码序列。 希望最大化安全性的客户端应该仅限于最新的TLS版本和最强的密码序列。

Specific security vs. connectivity decisions are implemented by ConnectionSpec. OkHttp includes three built-in connection specs: MODERN_TLS is a secure configuration that connects to modern HTTPS servers. COMPATIBLE_TLS is a secure configuration that connects to secure–but not current–HTTPS servers. CLEARTEXT is an insecure configuration that is used for http:// URLs.

ConnectionSpec实现了特定的安全性和连接性决策。 OkHttp包含3个内置连接规范:
.MODERN_TLS是连接到现代HTTPS服务器的安全配置。
.COMPATIBLE_TLS是连接到安全但非当前的HTTPS服务器的安全配置。
.CLEARTEXT是一种不安全的配置, 用于http:// URLs.

By default, OkHttp will attempt a MODERN_TLS connection, and fall back to COMPATIBLE_TLS connection if the modern configuration fails.

OkHttp是默认尝试MODERN_TLS连接的, 如果配置失败, 会回退到COMPATIBLE_TLS连接。

The TLS versions and cipher suites in each spec can change with each release. For example, in OkHttp 2.2 we dropped support for SSL 3.0 in response to the POODLE attack. And in OkHttp 2.3 we dropped support for RC4. As with your desktop web browser, staying up-to-date with OkHttp is the best way to stay secure.

每个规范中的TLS版本和密码序列会随着版本而变化。 比如, 在OkHttp 2.2版本 我们放弃了SSL 3.0的支持来响应POODLE攻击。 在OkHttp 2.3版本 我们放弃了RC4的支持。 与您的桌面浏览器一样, 保持OkHttp的最新版本是保持安全的最佳方式。

You can build your own connection spec with a custom set of TLS versions and cipher suites. For example, this configuration is limited to three highly-regarded cipher suites. Its drawback is that it requires Android 5.0+ and a similarly current webserver.

你可以使用一组自定义的TLS版本和密码序列来构建你自己的连接。比如, 此配置仅限于3个最受推崇的密码序列。 它的缺点是需要Android5.0+类似的网络服务器。 
ConnectionSpec spec = new ConnectionSpec.Builder(ConnectionSpec.MODERN_TLS)  
    .tlsVersions(TlsVersion.TLS_1_2)
    .cipherSuites(
          CipherSuite.TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,
          CipherSuite.TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
          CipherSuite.TLS_DHE_RSA_WITH_AES_128_GCM_SHA256)
    .build();

OkHttpClient client = new OkHttpClient.Builder() 
    .connectionSpecs(Collections.singletonList(spec))
    .build();
复制代码

证书锁定

By default, OkHttp trusts the certificate authorities of the host platform. This strategy maximizes connectivity, but it is subject to certificate authority attacks such as the 2011 DigiNotar attack. It also assumes your HTTPS servers’ certificates are signed by a certificate authority. Use CertificatePinner to restrict which certificates and certificate authorities are trusted. Certificate pinning increases security, but limits your server team’s abilities to update their TLS certificates. Do not use certificate pinning without the blessing of your server’s TLS administrator!

默认情况下, OkHttp信任主机平台的证书颁发机构。 该策略可最大限度的提高连接性。但它受到如2011 DigiNotar的攻击。 它还假定您的Https 服务端认证是由一个认证机构签名的。
使用CertificatePinner来限制受信任的证书和颁发机构。 证书锁定可以提高安全性, 但会受限于服务器团队更新TLS证书的能力。 没有服务器TLS管理员的保证, 请不要使用证书锁定! 
public CertificatePinning() {
    client = new OkHttpClient.Builder()
        .certificatePinner(new CertificatePinner.Builder()
            .add("publicobject.com", "sha256/afwiKY3RxoMmLkuRW1l7QsPZTJPwDS2pdDROQjXw8ig=")
            .build())
        .build();
  }

  public void run() throws Exception {
    Request request = new Request.Builder()
        .url("https://publicobject.com/robots.txt")
        .build();

    Response response = client.newCall(request).execute();
    if (!response.isSuccessful()) throw new IOException("Unexpected code " + response);

    for (Certificate certificate : response.handshake().peerCertificates()) {
      System.out.println(CertificatePinner.pin(certificate));
    }
  }
复制代码

The full code sample shows how to replace the host platform’s certificate authorities with your own set. As above, do not use custom certificates without the blessing of your server’s TLS administrator!

完整的代码展示了如何使用你自己的集来替换主机平台的证书。 如上所述, 如果没有服务器TLS管理员的祝福,请不要自定义证书。 
private final OkHttpClient client;

  public CustomTrust() {
    SSLContext sslContext = sslContextForTrustedCertificates(trustedCertificatesInputStream());
    client = new OkHttpClient.Builder()
        .sslSocketFactory(sslContext.getSocketFactory())
        .build();
  }

  public void run() throws Exception {
    Request request = new Request.Builder()
        .url("https://publicobject.com/helloworld.txt")
        .build();

    Response response = client.newCall(request).execute();
    System.out.println(response.body().string());
  }

  private InputStream trustedCertificatesInputStream() {
    ... // Full source omitted. See sample.
  }

  public SSLContext sslContextForTrustedCertificates(InputStream in) {
    ... // Full source omitted. See sample.
  }
复制代码
weixin_34249367
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
okhttp3进行https的post调用
07-10
okhttp3进行https的post调用。代码比较详细,也有错误说明。
Android okhttp3.0忽略https证书的方法
08-28
Android OkHttp 3.0 忽略 HTTPS 证书的方法 一、HTTPS 证书简介 HTTPS 证书是用于确保网络通信安全的一种数字证书。它可以验证服务器的身份,确保客户端和服务器之间的通信安全。 HTTPS 证书可以分为两种:一种是...
深入剖析OkHttp系列(一) 来自官方OkHttp设计思想(中英互译)
weixin_34148340的博客
08-15 151
本文译自OkHttp官方Wiki文档 The HTTP client’s job is to accept your request and produce its response. This is simple in theory but it gets tricky in practice. Calls 该HttpClient的作用是接收你的请求并生成响应。 这在理论上来说是很简单的, ...
深入剖析OkHttp系列(五) 来自官方的事件机制
weixin_33766805的博客
08-16 223
Event Events allow you to capture metrics on your application’s HTTP calls. Use events to monitor: The size and frequency of the HTTP calls your application makes. If you’re making too many calls, ...
深入剖析OkHttp系列(二) 来自官方的开发使用手册(中英互译)
weixin_34072458的博客
08-15 142
同步Get请求 Download a file, print its headers, and print its response body as a string. 下载一个文件, 以字符串形式打印它的请求头以及响应体 The string() method on response body is convenient and efficient for small docume...
OkHttp wiki官方文档翻译(二)
json_it的博客
10-13 346
拦截器 拦截器是一个很强大的机制,可以监视、重写、重试请求。下面的例子是打印请求和响应的日志。 class LoggingInterceptor implements Interceptor { @Override public Response intercept(Interceptor.Chain chain) throws IOException { Request requ
OkHttp Wiki翻译(六)安全超文本传输协议(HTTPS
anonymousCoder的博客
07-01 700
原文:https://github.com/square/okhttp/wiki/HTTPS 下面是翻译:   安全超文本传输协议(HTTPSOkHttp试图平衡两个竞争的关注点: l  连接尽可能多的主机。 这包括运行最新版本的boringssl的高级主机,以及运行较早版本的OpenSSL的较少旧的主机。 l  连接的安全性。这包括使用证书验证远程Web服务器,并使用强密码交换隐
深入了解OkHttp3之Interceptors
08-26
1. 当一个网络请求被发起时,OkHttp会按照添加到拦截器链中的顺序,依次调用每个拦截器的`intercept(Chain chain)`方法。 2. 拦截器可以在`intercept()`方法中修改请求(例如添加请求头)或响应(例如缓存响应),...
okhttp系列4.X的全套jar包
09-25
OkHttp 4.x系列是其最新的版本,包含了众多优化和改进,特别是4.9.0和4.9.1这两个小版本。 OkHttp的核心特点包括: 1. **连接池**:OkHttp通过维持持久的TCP连接来减少建立新连接所需的开销,从而提高了网络请求的...
安卓实现 Okhttp https注册登录
12-16
在Android开发中,OkHttp是一个高效且功能强大的网络请求库,而HTTPS协议是用于安全的互联网通信。本示例“安卓实现 Okhttp https注册登录”将教你如何利用OkHttp库来处理HTTPS请求,以实现安全的用户注册和登录功能...
Android Https相关完全解析 当OkHttp遇到Https
iteye_7202的博客
08-31 2542
转自: http://blog.csdn.net/lmj623565791/article/details/48129405; 本文出自:【张鸿洋的博客】 一、概述 其实这篇文章理论上不限于okhttp去访问自签名的网站,不过接上篇博文了,就叫这个了。首先要了解的事,okhttp默认情况下是支持https协议的网站的,比如https://www.baidu.com,https://...
完美解决imageloader加载https图片
热门推荐
wk843620202的专栏
03-25 1万+
当我们使用开源框架UniversalImageLoader加载图片时,如果图片链接是https的话,就会显示不了图片,显示一片空白; 并且在android手机中的浏览器上访问该图片会提示网站安全证书已过期或不可信是否继续浏览的提示,如图: 解决方案一 设置请求支持https: 我们应该实现 ImageDownloader ,然后把它设置给ImageLoader的configurat
Django+vue自动化测试平台(28)-- ADB获取设备信息
测试小老弟的博客
07-17 387
adb的全称为Android Debug Bridge,就是起到调试桥的作用。通过adb可以在Eclipse中通过DDMS来调试Android程序,说白了就是调试工具。adb的工作方式比较特殊,采用监听Socket TCP 5554等端口的方式让IDE和Qemu通讯,默认情况下adb会daemon相关的网络端口,所以当我们运行Eclipse时adb进程就会自动运行。
Android平台轻量级RTSP服务模块技术接入说明
乐学吧
07-17 1006
本文以大牛直播SDK Android平台Camera2Demo为例,启动RTSP服务、发布RTSP流之前,可以先选择视频分辨率、软编还是硬编码,音频是PCMA还是AAC编码等基础设置,其他参数的设置,可以参考下面InitAndSetConfig()。,实现本地的音视频数据(如摄像头、麦克风),编码后,汇聚到内置RTSP服务,对外提供可供拉流的RTSP URL,轻量级RTSP服务,其中,InitAndSetConfig()实现如下,通过调研SmartPublisherOpen()接口,生成推送实例句柄。
【Android】DMA-buffer:如何查看系统dma-buffer使用情况
wangjicong_215的博客
07-18 192
上面列出了当前不同pid使用dma-buffer 使用情况,以及使用dma-buffer 大小。
LG 选择 Flutter 来增强其智能电视操作系统 webOS
恋猫de小郭的博客
07-17 1640
总的来说,LG 是 Flutter 在 TV 领域的一次新的尝试,并且它是在脱离了 Android 平台的场景下实现的支持,虽然 webOS 并不是什么流行的系统,但是这也体现出了 Flutter 的特点:可以用较低的成本实现较好性能的跨平台。后续,在 LG 的主导下,WebOS 经过进一步修改,转变为智能电视操作系统,于是 WebOS TV 就诞生了,此后 LG 的 TV 基本路线定为 webOS ,在应用层面,WebOS TV 以基于 Web 的技术为基础。然后 LG 为什么选择 webOS?
【Android】视图与常用控件总结
Patrick_yuxuan的博客
07-17 951
属性名描述android:id为视图分配唯一的ID,用于在代码中引用设置视图的宽度设置视图的高度设置视图的外边距设置视图的内边距设置视图在其父视图中的对齐方式(仅适用于ViewGroup的子视图)设置视图内容的对齐方式设置视图的背景颜色或图片设置视图的可见性(visibleinvisiblegone设置视图在线性布局中的权重(仅适用于设置视图是否与父视图的顶部对齐(仅适用于设置视图是否与父视图的底部对齐(仅适用于设置视图是否在父视图中居中(仅适用于设置视图在另一视图的下面(仅适用于。
Android ftp 服务器 简单好用推荐免流量传文件
qq_30049249的博客
07-17 684
https://andi.cn/page/621578.html
【23】Android高级知识之Window() - ThreadedRenderer
最新发布
mr_zengkun的博客
07-21 765
ThreadedRenderer、WMS

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值