Android使用自签证书利用Okhttp进行HTTPS接口的安全连接

最新推荐文章于 2024-05-21 10:15:44 发布
最新推荐文章于 2024-05-21 10:15:44 发布
阅读量5.6k 收藏 4
点赞数 1
分类专栏: 边实验边分析 文章标签: android https ssl 安全 ca证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaozeiqwe/article/details/122811420
版权

在上一篇文章【使用自签证书利用Okhttp进行HTTPS接口的安全连接】中,我们自己生成了证书,创建了最简单的接口,实现了让浏览器信任了我们的证书,那么,在Android上要怎么做呢?在android中,其实也是差不多的概念,android的app都会默认使用系统的受信任证书列表,
我们可以参考android官网https://developer.android.com/training/articles/security-config?hl=zh-cn#certificates里面的说明来学习,这个受信任列表是可以切换的,并且都有默认值

在这里插入图片描述

系统的受信任列表我们也可以在手机的设置里面找到,并且我们可以选择把一些证书让他失效,大家可以试试将上面的百度的根证书找到它让它失效后
在这里插入图片描述

再来看看手机浏览器里访问百度,你会发现百度也不信任了哈哈。

所以在Android上,套路是和我们Windows一样的,但是由于我们没法直接把我们的证书加入到系统里面,当然root的除外,所以我们只能使用另一种方式,即访问接口的时候,不使用系统的默认受信任列表,而是使用我们指定的证书来做验证,这边以okhttp来实现将证书植入到我们的app中,让我们的app可以使用自签证书实现https的通讯

创建okhttp client,我们还是使用以之前的go服务器为例,正常情况下的访问会是这样来使用

val client = OkHttpClient.Builder()
            .build()
val request: Request = Request.Builder()
.url("https://10.0.10.22:8081/ping")
.build()
Thread {
    client.newCall(request).execute()
    .use { response -> Log.d("MainActivity", "response str is '${response.body?.string()}'") }
}.start()

由于我们的证书手机上的受信任列表中肯定是不存在的,所以肯定会报错

在这里插入图片描述

这时候我们给okhttp配置ssl,来让okhttp使用我们自己的ssl规则和证书进行https连线,而不是使用默认的系统的受信任列表

这边我们将CA根证书放在了assets目录下,方便取出

在这里插入图片描述

模仿官网:https://developer.android.com/training/articles/security-ssl?hl=zh-cn#UnknownCa 的未知证书的用法,创建SSLSocketFactory和TrustManager

// Load CAs from an InputStream
// (could be from a resource or ByteArrayInputStream or ...)
val cf: CertificateFactory = CertificateFactory.getInstance("X.509")
val caInput: InputStream = BufferedInputStream(assets.open("rootca.crt"))
val ca: X509Certificate = caInput.use {
    cf.generateCertificate(it) as X509Certificate
}

// Create a KeyStore containing our trusted CAs
val keyStoreType = KeyStore.getDefaultType()
val keyStore = KeyStore.getInstance(keyStoreType).apply {
    load(null, null)
    setCertificateEntry("ca", ca)
}


val trustManagerFactory: TrustManagerFactory = TrustManagerFactory.getInstance(
    TrustManagerFactory.getDefaultAlgorithm()
)
trustManagerFactory.init(keyStore)
val trustManagers: Array<TrustManager> = trustManagerFactory.trustManagers
check(!(trustManagers.size != 1 || trustManagers[0] !is X509TrustManager)) {
    ("Unexpected default trust managers:"
            + trustManagers.contentToString())
}
val trustManager: X509TrustManager = trustManagers[0] as X509TrustManager

val sslContext: SSLContext = SSLContext.getInstance("TLS")
sslContext.init(null, arrayOf<TrustManager>(trustManager), null)
val sslSocketFactory: SSLSocketFactory = sslContext.socketFactory

然后在okhttp client上使用我们的SSLSocketFactory和TrustManager

val client = OkHttpClient.Builder()
            	.sslSocketFactory(sslSocketFactory, trustManager)
            	.build()

这边还需要注意的是,我们提到过证书中“Subject Alternative Name”这个字段,那么okhttp内部也会对这个字段进行验证,在connectTls方法中,会调用verify方法进行验证

在这里插入图片描述

hostnameVerifier有默认的实现类实现了默认的verify方法,其有一套默认的验证规则,会根据ip和hostname分别验证,

在这里插入图片描述

会使用getSubjectAltNames来获取证书中的Subject Alternative Name字段

在这里插入图片描述

所以,我们只要用上一篇文章的方法在证书中配置了正确的IP或者Hostname,那么就可以直接访问了,或者我们可以通过把默认的实现类进行覆盖,

val client = OkHttpClient.Builder()
            .sslSocketFactory(sslSocketFactory, trustManager)
            .hostnameVerifier { hostname, _ ->
                true
            }
            .build()

当然,这样做还是有一定风险的,所以还是推荐证书中写入Subject Alternative Name字段。

另外补充下,我们也是可以无条件的让okhttp信任所有证书来进行https连接,但是这样是非常危险的,所以不推荐这样处理。

卡卡爾
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Android Okhttp3添加https自签名证以及Glide4,Android高级工程师进阶学习—Android热修复原理
m0_61068009的博客
03-28 1222
最快捷的方式,就是有人可以带着你一起分析,这样学习起来最为高效,所以为了大家能够顺利进阶中高级、架构师,我特地为大家准备了一套高手学习的源码和框架视频等精品Android架构师教程,保证你学了以后保证薪资上升一个台阶。如果想不换证可以继续访问,可以通过X509TrustManager信任所有的证,以达到客户端不换证文件就能获取到服务端数据,但不建议这样使用!(重要的事重复三遍)免费,免费,免费,不用花费一分钱,在开发阶段写的代码, 测试跟发布的时候也可以用。
Android Okhttp3添加https自签名证以及Glide4
2401_83915450的博客
03-27 994
跳槽季整理面试题已经成了我多年的习惯!在这里我和身边一些朋友特意整理了一份快速进阶为Android高级工程师的系统且全面的学习资料。涵盖了Android初级——Android高级架构师进阶必备的一些学习技能。附上:我们之前因为秋招收集的二十套一二线互联网公司Android面试真题(含BAT、小米、华为、美团、滴滴)和我自己整理Android复习笔记(包含Android基础知识点、Android扩展知识点、Android源码解析、设计模式汇总、Gradle知识点、常见算法题汇总。
okHttp框架的介绍 和关于https的自定义签名证的问题
彭思正的博客
04-18 9229
参考博客:【张鸿洋的博客】   Android Https相关完全解析 当OkHttp遇到Https 1.okhttp的介绍:  它能够处理: 一般的get请求一般的post请求基于Http的文件上传文件下载加载图片支持请求回调,直接返回对象、对象集合支持session的保持 平台使用使用前,对于Android Studio的用户,可以选择添加: com
AndroidOkHttp请求自定义HTTPS接口设置
laizuling的博客
04-15 4192
在请求安全性高的接口时,我们可能会使用HTTPS接口HTTPS可以理解为HTTP+TLS,关于HTTPS具体是怎么工作的,可以看这篇文章:http://gold.xitu.io/entry/56ef4ff47db2a20052218e0f 如果你的证是买的Android中内置默认信任的证颁发机构,则不需要通过此步骤(需要好多钱~但是大部分国内应用不会花那么多钱去买权威机构颁发的证),如果
Android Okhttp3添加https自签名证
最新发布
kyoyas的博客
05-21 270
/信任https自签名证
android使用Okhttphttps配置
Master-D的博客
12-09 2119
如果是正常的http是不用配置安全的,如果是使用https的话,是必须配置安全 项目使用okhttp 通过对okhttp的builder添加证校验 OkHttpClient.Builder builder SSLContext sslContext = SSLContextUtil.getDefaultSLLContext(); if (sslContext != null) { SSLSocketFactory socketFactory = sslContext.getSo
okhttp配置自签名https
蓝不蓝编程
05-24 1487
背景 有些时候,为了做内部测试,服务器上得配置自签名证,这样安卓客户端需要通过自签名证去访问. 解决方案 增加工具类HttpsUtil class HttpsUtil { class SSLParams { lateinit var sSLSocketFactory: SSLSocketFactory lateinit var trustManag...
Android 安全加密:数字签名和数字证详解
09-01
Android开发中,要实现HTTPS接口的调用,需要配置信任的证,处理SSL证验证,以及使用HttpURLConnection或OkHttp等库进行安全的网络请求。 总之,数字签名和数字证Android安全加密体系的重要组成部分,...
安卓实现 Okhttp https注册登录
12-16
Android开发中,...不过,务必注意,在生产环境中,应该遵循最佳安全实践,包括使用受信任的证和有效的证链,而不是完全信任所有证。此外,对用户输入进行验证和数据加密也是保护用户信息安全的重要步骤。
android之http工具: okhttp-master
03-26
本文将深入探讨OkHttp的基础知识、特性以及如何在Android项目中使用它。 OkHttp是由Square公司开发的一款开源HTTP客户端,其设计目标是提供更快速、更稳定、更省电的网络通信体验。OkHttp通过减少网络延迟、优化...
Android 网络框架OkHttp
12-07
OkHttp支持SSL/TLS,可以配置信任的证,处理自签名证,确保网络安全。此外,还可以通过配置hostnameVerifier来验证服务器的身份。 10. **错误处理** 当网络请求失败时,OkHttp会抛出异常,开发者可以通过异常...
Android使用OkHttp请求自签名的https网站的示例
01-20
前言 很多公司考虑到安全问题,项目中都采用https加密协议进行数据传输。但是一些公司又不想花一笔钱去CA申请证,所以就采用自签名的证OkHttp默认是可以访问通过CA认证的HTTPS链接,例如百度首页也是https链接(https://www.baidu.com/)。但是如果是你们公司自签名(即自己用keytool生成的证,而不是采用通过CA认证的证)的服务器,OkHttp是无法访问的,例如访问12306网站(https://kyfw.12306.cn/otn/),会报如下错误: HTTPS的工作原理 HTTPS在传输数据之前需要客户端(浏览器)与服务端(网站)之间进行一次
android okhttp联网框架
09-20
5. 安全性:OkHttp 支持 HTTPS,可以进行安全的网络通信,并且可以配置自签名证和代理服务器。 6. 可扩展性:OkHttp 提供了拦截器(Interceptor)机制,允许用户在请求发出前或响应返回后添加自定义逻辑,如日志...
okhttp学习笔记--Https与SSL
yuanjw2014的专栏
12-07 4387
https安全的http协议是建立在SSL层或TLS层上的http协议,在普通的传输层和http应用层之间插入SSL或TLS安全层。 https使用非对称加密方式对报文进行加密处理以保证安全https不同于http,使用443端口作为默认端口,建立TCP连接后,会初始化SSL层,对加密参数进行沟通并交换秘钥。 1.非对称加密2.SSL握手过程 ssl握手过程完成加密算法的协商和加密秘钥的
Android-OKhttp解决https安全链接请求问题
bencheng06的博客
11-13 5056
Android-OKhttp解决https安全链接请求问题关于特别理论的东西大家可以百度下自己去了解下,这里就简单说一下,HTTPS相当于HTTP的安全版本了,为什么安全呢?因为它在HTTP的之下加入了SSL (Secure Socket Layer),安全的基础就靠这个SSL了。SSL位于TCP/IP和HTTP协议之间,那么它到底能干嘛呢?它能够:认证用户和服务器,确保数据发送到正确的客户机和服务
android okhttp3 配置https
hhbbeijing的专栏
12-05 2751
一、写在前面,客户端的证,一般是由服务端提供的,我们来认识一下: ca.crt :服务端证 client.crt :客户端证 client.key :客户端证秘钥 ca.crt就是我们客户端单向验证时使用的证, 那么client.crt和client.key就应该是双向验证用到的bks了,于是重点就是他们间的转换了 准备工作,我们用到两个工具: openssl:证格式转换及秘钥获取 下载地址:https://download.csdn.net/...
Android使用OkHttp访问自签名证Https接口
Shawpoo的专栏
06-02 4020
我的简:简前言在Android开发中,Okhttp想必大家都不陌生,一个处理网络请求的开源项目,是安卓端最火热的轻量级框架。本人在开发过程中也用了很长一段时间了,但是基本请求的都是http接口。即使访问https网站也都是绿色的,有个很特殊的大型购票网站则不是,所以本文主要介绍如何使用Okhttp访问自签名证https接口。而且公司自己服务接口也全部换成了https接口,在去年就说ios要强
Android Okhttp3添加https自签名证以及Glide4,掌握这个提升路径,
mm627mm的博客
03-29 738
以添加V获取:vip204888 (备注Android)**[外链图片转存中…(img-ShttW6Uv-1711727101004)]
Openfeign和okHttphttps请求忽略ssl证认证
毅香雪海的博客
07-11 3332
ssl证忽略
android使用okhttp发送websocket请求关闭连接代码
05-15
要关闭WebSocket连接,您可以使用`WebSocket`类的`close()`方法。以下是使用OkHttp发送WebSocket请求并关闭连接的基本示例: ``` OkHttpClient client = new OkHttpClient(); Request request = new Request.Builder() .url("ws://example.com/websocket") .build(); WebSocket webSocket = client.newWebSocket(request, new WebSocketListener() { // WebSocket回调函数 @Override public void onOpen(WebSocket webSocket, Response response) { // WebSocket连接已打开 } @Override public void onMessage(WebSocket webSocket, String text) { // 收到服务器发送的消息 } @Override public void onClosing(WebSocket webSocket, int code, String reason) { // WebSocket正在关闭中 webSocket.close(1000, null); // 关闭WebSocket连接 } @Override public void onClosed(WebSocket webSocket, int code, String reason) { // WebSocket已关闭 } @Override public void onFailure(WebSocket webSocket, Throwable t, Response response) { // WebSocket连接失败 } }); // 关闭WebSocket连接 webSocket.close(1000, null); ``` 在上面的示例中,我们使用了`OkHttpClient`类创建了一个WebSocket连接,并实现了`WebSocketListener`类的回调函数。在`onClosing()`回调函数中,我们可以使用`close()`方法关闭WebSocket连接。此外,您还可以在任何需要关闭WebSocket连接的地方调用`close()`方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

卡卡爾

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值