Android使用https

最新推荐文章于 2024-04-11 15:17:22 发布
最新推荐文章于 2024-04-11 15:17:22 发布
阅读量710 收藏
点赞数
分类专栏: android 网络 文章标签: https https证书验证
原文链接:https://www.jianshu.com/p/3beebdf846bb
版权

注:所有转载文章只作为学习记录,无其他想法。

前言
HI,欢迎来到裴智飞的《每周一博》。今天是九月第三周,我给大家介绍一下安卓如何使用https。

HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。

为了解决HTTP协议的这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS,为了数据传输的安全,HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。

HTTPS和HTTP的区别主要如下:

https协议需要到ca申请证书,一般免费证书较少,因而需要一定费用。
http是超文本传输协议,信息是明文传输,https则是具有安全性的ssl加密传输协议。
http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。
安卓里使用https的步骤如下,创建一个HttpsURLConnection并设置属性,然后去效验本地证书,接着发起请求,接受结果。

1.创建一个HttpsURLConnection并设置属性

URL url = new URL("https://baidu.com");
HttpsURLConnection urlConnection = url.openConnection();
InputStream in = urlConnection.getInputStream();
urlConnection.setInstanceFollowRedirects(false);
urlConnection.setDoOutput(true);
urlConnection.setDoInput(true);
urlConnection.setConnectTimeout(Common.TIME_OUT);
urlConnection.setReadTimeout(Common.FILE_TIME_OUT);
urlConnection.setRequestMethod("POST");
urlConnection.setRequestProperty("Content-Type", "application/x-www-form-urlencoded; charset=utf-8");
urlConnection.setRequestProperty("Accept-Encoding", "gzip");

2.效验本地证书有两种方式,一种是不安全的,什么证书都相信,另一种则是只相信指定的证书,对其进行效验。

效验要通过SSLSocketFactory创建的 SSLSocket来进行,默认的 SSLSocketFactory校验服务器的证书时,会信任设备内置的100多个根证书。

private synchronized SSLSocketFactory getDefaultSSLSocketFactory() {
  try {
    SSLContext sslContext = SSLContext.getInstance("TLS");
    sslContext.init(null, null, null);
    return defaultSslSocketFactory = sslContext.getSocketFactory();
  } catch (GeneralSecurityException e) {
    throw new AssertionError();
  }
}

校验服务器的证书,其实就是通过TrustManager来操作的,更一般的说是X509TrustManager;

private static synchronized SSLSocketFactory getDefaultSSLSocketFactory() {
    try {
        SSLContext sslContext = SSLContext.getInstance("TLS");
        sslContext.init(null, new TrustManager[]{
                new X509TrustManager() {
                    public void checkClientTrusted(X509Certificate[] x509Certificates, String s) throws CertificateException {
                    }

                    public void checkServerTrusted(X509Certificate[] x509Certificates, String s) throws CertificateException {
                    }

                    public X509Certificate[] getAcceptedIssuers() {
                        return new X509Certificate[0];
                    }
                }
        }, null);
        return sslContext.getSocketFactory();
    } catch (GeneralSecurityException e) {
        throw new AssertionError();
    }
}

这种效验过程什么证书都会信任,没有安全性可言,接下来我们看正确的配置。

public static SSLContext getSSLContext() {
    // 从assets中加载证书,取到证书的输入流
    InputStream is = getApplicationContext().getAssets().open("srca.cer");
    // 证书工厂
    CertificateFactory cf = CertificateFactory.getInstance("X.509");
    Certificate ca = cf.generateCertificate(is);

    // 加载证书到密钥库中
    String keyStoreType = KeyStore.getDefaultType();
    KeyStore keyStore = KeyStore.getInstance(keyStoreType);
    keyStore.load(null);
    keyStore.setCertificateEntry("cert", ca);

    // 加载密钥库到信任管理器
    String algorithm = TrustManagerFactory.getDefaultAlgorithm();
    TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(algorithm);
    trustManagerFactory.init(keyStore);
    TrustManager[] trustManagers = trustManagerFactory.getTrustManagers();

    // 用 TrustManager 初始化一个 SSLContext
    SSLContext sslContext = SSLContext.getInstance("TLS");
    sslContext.init(null, trustManagers, null);
    urlCon.setSSLSocketFactory(sslContext.getSocketFactory());

有个问题:Android P 限制了明文流量的网络请求,非加密的流量请求都会被系统禁止掉,如果当前应用的请求是http请求,而非 https,这样就会导系统禁止当前应用进行该请求,如果WebView 的url用http协议,同样会出现加载失败,https则不受影响。

所以需要做一个简单的配置,在manifest的application标签下增加一行配置,同时增加一个xml文件。

 android:networkSecurityConfig="@xml/network_security_config"

<network-security-config>
    <base-config cleartextTrafficPermitted="true">
        <trust-anchors>
            <certificates src="system" overridePins="true"/>
            <certificates src="user" overridePins="true" />
        </trust-anchors>
    </base-config>
</network-security-config>

然后传递参数并获取结果

 Iterator<Entry<String, Object>> it = params.entrySet().iterator();
    while (it.hasNext()) {
        Entry<String, Object> element = (Entry<String, Object>) it.next();
        sb2.append(element.getKey());
        sb2.append("=");
        sb2.append(element.getValue());
        sb2.append("&");
    }
    if (sb2.length() > 0) {
        sb2.deleteCharAt(sb2.length() - 1);
    }
    os = urlCon.getOutputStream();
    os.write(sb2.toString().getBytes());
    os.flush();

    int statusCode = urlCon.getResponseCode();
    if (statusCode == HttpsURLConnection.HTTP_OK) {
        is = urlCon.getInputStream();
        String contentEncoding = urlCon.getContentEncoding();
        if ((contentEncoding != null) && contentEncoding.contains("gzip")) {
            is = new GZIPInputStream(new BufferedInputStream(is));
        }
        // 创建字节输出流对象
        baos = new ByteArrayOutputStream();
        // 定义读取的长度
        int len = 0;
        // 定义缓冲区
        byte[] buffer = new byte[1024];
        // 按照缓冲区的大小,循环读取
        while ((len = is.read(buffer)) != -1) {
            // 根据读取的长度写入到os对象中
            baos.write(buffer, 0, len);
        }
        // 返回字符串
        String result = new String(baos.toByteArray(), "utf-8");
    }

结尾:
这样一个使用本地证书效验的https请求就算完成了,但是如果不对内容做加密,而只是依赖https通道是不安全的,因为请求https的证书如果还用https,那么就是一个无尽循环,而用http有如何保证安全呢?另外https比较消耗流量,所以可以采用http配合高强度加密的方式来进行网络传输,关于安卓里面使用加解密的知识我会在下一篇文章里编写,我们下周再见。

惟恋惜
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
android采用Https的解决方案,Android使用https
weixin_42538470的博客
05-25 3122
前言HI,欢迎来到裴智飞的《每周一博》。今天是九月第三周,我给大家介绍一下安卓如何使用https。HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。为了解决HTTP协议的这一缺陷...
android采用Https的解决方案,安卓使用https进行网络访问
weixin_42369343的博客
05-25 1767
今天最后一天上班,马上就放假了,是不是有点小激动啊!这个假期准备阅读一下第二行代码,额…扯远了,let us back。 前两天写了关于https的工作流程以及如何使用keytool生成密钥并保存到cer文件中,今天学习一下怎样使用https进行网络访问。基本设置这里我们使用安卓原生的HttpURLConnection进行网络请求,使用我的csdn博客地址模拟http请求,github地址模拟...
Android Https和WebView
最新发布
2401_84103818的博客
04-11 660
由于题目很多整理答案的工作量太大,所以仅限于提供知识点,详细的很多问题和参考答案我都整理成了 PDF文件一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点,真正体系化!
android 使用https请求
热门推荐
JerryWu145的专栏
11-07 1万+
今年年初就已经吵吵着要把大部分的服务端由http转成https了,但是由于很多公司还是比较懒得,而且有的公司可能不想再多掏一些钱去对自己的网址加入CA认证,所以这件事就一直拖下来了,但是随着用户数据越来越多暴露在一些不法分子眼前,所以信息安全越来越被用户重视,一些金融、贷款公司已经开始使用这种技术了,今天就来讲解一下android上面的通过https对服务器进行请求。 首先先来解答一下疑惑,我们
Android支持https的处理方式1----httpclient请求https的处理方式
hq222的博客
11-25 829
HTTPS:超文本安全传输协议,和HTTP相比,多了一个SSL/TSL的认证过程,端口为443 1.peer终端发送一个request,https服务端把支持的加密算法等以证书的形式返回一个身份信息(包含ca颁发机构和加密公钥等)。 2.获取证书之后,验证证书合法性。 3.随机产生一个密钥,并以证书当中的公钥加密。 4.request https服务端,把用公钥加密过的
Android使用Https访问Demo
01-19
Android使用Https协议访问,一个简单的小demo,很清楚的描述了Https的访问过程
Android使用Https查询手机号码归属地
04-29
Android使用Https通过淘宝接口查询手机号码归属地,返回Json格式信息。
Android项目中使用HTTPS配置的步骤详解
08-30
"Android项目中使用HTTPS配置的步骤详解" 在Android项目中使用HTTPS配置是一项非常重要的任务,主要是为了确保网络传输的安全性。HTTPS(Hypertext Transfer Protocol Secure)是基于HTTP的安全版本,它使用SSL/TLS...
Android Studio使用说明
01-14
首先,需要下载 Android Studio 的安装包,网址为 <https://developer.android.com/studio>。下载完成后,双击安装包,按照提示安装即可。 (2)插件安装 Android Studio 提供了许多插件,能够扩展其功能。下面是...
Android Fragment使用
03-18
Android Fragment使用,博客地址:https://blog.csdn.net/dreams_deng/article/details/104638596
SpringBoot http升为https(自签SSL证书,局域网内使用)http重定向https
jasstool的博客
08-06 1799
SpringBoot http升为https(自签SSL证书,局域网内使用)http重定向https 首先要生成证书,到服务器jdk的bin文件夹下执行命令行:keytool -genkey -alias tomcat -storetype PKCS12 -keyalg RSA -keysize 2048 -keystore keyword.p12 -validity 3650 ,输入密码,剩...
Nginx开启https和局域网访问配置攻略
fastboot
09-19 1418
随着网络应用的普及,越来越多的服务和应用开始运行在互联网上。这些服务和应用需要保护用户数据的机密性、完整性和可用性。HTTPS作为一种可防止中间人攻击的加密通信协议,可以有效地保护用户数据的安全性和隐私性。同时,对于在局域网内部运行的服务和应用,也需要确保其安全性。因此,配置NGINX以支持HTTPS和局域网访问具有重要的实际意义。一、安装Nginx本文以windows系统为例,直接到官网下载即可...
局域网搭建SSL,使用HTTPS服务教程
weixin_45565886的博客
02-08 4963
局域网搭建SSL,使用HTTPS服务教程
android如何使用https请求,【安卓】使用SSL证书进行https请求
weixin_42602900的博客
06-20 2289
android使用SSL证书进行https请求
android使用Okhttp中https证书配置
Master-D的博客
12-09 2115
如果是正常的http是不用配置安全证书的,如果是使用https的话,是必须配置安全证书 项目使用了okhttp 通过对okhttp的builder添加证书校验 OkHttpClient.Builder builder SSLContext sslContext = SSLContextUtil.getDefaultSLLContext(); if (sslContext != null) { SSLSocketFactory socketFactory = sslContext.getSo
Android HTTPS详解
小一的专栏
09-15 6433
前言 最近有一个跟Https相关的问题需要解决,因此花时间学习了一下Android平台Https使用,同时也看了一些Https的原理,这里分享一下学习心得。 HTTPS原理 HTTPS(Hyper Text Transfer Protocol Secure),是一种基于SSL/TLS的HTTP,所有的HTTP数据都是在SSL/TLS协议封装之上进行传输的。HTTPS协议是在HTTP
Android 使用 HTTPS
easyer2012的专栏
12-28 1045
如果你的项目的网络框架是okhttp,那么使用https还是挺简单的,因为okhttp默认支持HTTPS。传送门 Android 使用 HTTPS 配置的步骤。 step 配置hostnameVerifier new HostnameVerifier() { @Override public boolean verify(Str
谈谈Android https的安全使用
balance的博客
10-11 660
前言 https利用PKI体系对web通信进行认证和加密,认证和加密的重要性不言而喻。在实现https过程中,证书校验这一环节起到至关重要的作用,但经常会出现各种问题。本文梳理了Android应用中校验https证书过程会出现的各种情况 首先简单说下证书校验逻辑: 如下图,网站使用https证书存在某个证书路径下,最顶层的是全球公认的根证书(Root CA),接着是根证书CA签发的二级证书...
android webview https ssl
10-29
要在Android WebView中使用SSL,需要采取以下步骤: 1. 配置WebView设置:在代码中,我们可以通过设置WebView的WebSettings对象来启用JavaScript和SSL,以便加载HTTPS网页。可以使用以下代码进行设置: ``` ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值