2. 程式人生 > >Android中Https通訊實現_ 單向認證

Android中Https通訊實現_ 單向認證

阿新 發佈:2018-12-27

客戶端與服務端單向認證即是在客戶端的網路請求和webview中設定信任所有證書,然後在與服務端進行Https網路通訊的時候,客戶端不必進行證書校驗也能進行網路通訊,否則就會報證書不受信異常。
缺陷:容易受到中間人攻擊。

概覽

  • TrustManager和HostnameVerifier
  • HttpURLConnection信任所有證書
  • OkHttp信任所有證書
  • webview信任所有證書

X509TrustManagerHostnameVerifier

X509TrustManager用於實現SSL證書的安全校驗,若使用不當,將導致APP對SSL證書不作校驗,從而 黑客有了中間人攻擊的可乘之機。開發者常見錯誤:

  • 自定義X509TrustManager,且不做任何校驗邏輯,一般為空實現;

HostnameVerifier用於實現HTTPS通訊中的域名安全校驗,即驗證當前連線的HTTPS站點的SSL證書中的域名是否等於站點本身的域名。開發者常見錯誤:

  • 自定義HostnameVerifier,且不做任何校驗邏輯,一般為return true;
  • 使用Android系統中自帶的不安全的HostnameVerifier,效果等同於不做任何校驗邏輯:
    org.apache.http.conn.ssl.AllowAllHostnameVerifier
    org.apache.http.conn.ssl.SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER
import java.security.SecureRandom;
import java.security.cert.X509Certificate;
import javax.net.ssl.HostnameVerifier;
import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLSession;
import javax.net.ssl.SSLSocketFactory;
import javax.net.ssl.TrustManager;
import javax.net.ssl.X509TrustManager;

public
 
 class SSLSocketClient {

    //獲取這個SSLSocketFactory
    public static SSLSocketFactory getSSLSocketFactory() {
        try {
            SSLContext sslContext = SSLContext.getInstance("SSL");
            sslContext.init(null, getTrustManager(), new SecureRandom());
            return sslContext.getSocketFactory();
        } catch (Exception e) {
            throw new RuntimeException(e);
        }
    }

    //獲取TrustManager
    private static TrustManager[] getTrustManager() {
        TrustManager[] trustAllCerts = new TrustManager[]{
                new X509TrustManager() {
                    @Override
                    public void checkClientTrusted(X509Certificate[] chain, String authType) {
                    }

                    @Override
                    public void checkServerTrusted(X509Certificate[] chain, String authType) {
                    }

                    @Override
                    public X509Certificate[] getAcceptedIssuers() {
                    		// return null; 或者
                        return new X509Certificate[]{}; // 空實現
                    }
                }
        };
        return trustAllCerts;
    }

    //獲取HostnameVerifier
    public static HostnameVerifier getHostnameVerifier() {
        HostnameVerifier hostnameVerifier = new HostnameVerifier() {
            @Override
            public boolean verify(String s, SSLSession sslSession) {
            	  // true表示信任所有域名
                return true;
            }
        };
        return hostnameVerifier;
    }
}

使用Android系統中自帶的不安全的HostnameVerifie

URL url = new URL("https url");
HttpsURLConnection conn= (HttpsURLConnection) url.openConnection();
conn.setHostnameVerifier(org.apache.http.conn.ssl.SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);

HttpURLConnection信任所有證書

URL url = new URL(fileUrl);
HttpURLConnection conn = (HttpURLConnection) url.openConnection();
conn.setRequestMethod(requestType);
conn.setConnectTimeout(timeOut * 1000);
// 配置https的證書
if ("https".equalsIgnoreCase(url.getProtocol())){
    ((HttpsURLConnection) conn).setSSLSocketFactory(SSLSocketClient.getSSLSocketFactory());
    ((HttpsURLConnection) conn).setHostnameVerifier(SSLSocketClient.getHostnameVerifier());
}

OkHttp信任所有證書

OkHttpClient okHttpClient = new OkHttpClient.Builder()
              .sslSocketFactory(SSLSocketClient.getSSLSocketFactory())
              .hostnameVerifier(SSLSocketClient.getHostnameVerifier())
              .build();

webview信任所有證書

Android系統內建了一些可信機構辦法的證書,可用於作HTTPS證書校驗。實際上,使用Webview元件進HTTPS通訊,其證書驗證環節也是系統預設會去做的。若發現證書不合法,Webview將顯示一個空白頁面,其錯誤在onReceivedSslError()這個方法裡進行處理。
在WebViewClient原始碼中可以看到系統預設處理,是拒絕連線帶有可信機構頒發證書的HTTPS站點的,如下所示:

/**
  * Notify the host application that an SSL error occurred while loading a
  * resource. The host application must call either handler.cancel() or
  * handler.proceed(). Note that the decision may be retained for use in
  * response to future SSL errors. The default behavior is to cancel the
  * load.
  *
  * @param view The WebView that is initiating the callback.
  * @param handler An SslErrorHandler object that will handle the user's
  *            response.
  * @param error The SSL error object.
  */
 public void onReceivedSslError(WebView view, SslErrorHandler handler,
         SslError error) {
     // 拒絕連線
     handler.cancel();
 }

而我們重寫此方法的時候可以設定成接受所有連線,如下所示:

 public void onReceivedSslError(WebView view, SslErrorHandler handler,
         SslError error) {
     // 接受所有連線
    handler.proceed();
 }

參考:
https://blog.csdn.net/jogger_ling/article/details/60576625
https://blog.csdn.net/u012852986/article/details/78873387
https://blog.csdn.net/Hubert_bing/article/details/55258280

相關推薦

AndroidHttps通訊實現_ 單向認證

客戶端與服務端單向認證即是在客戶端的網路請求和webview中設定信任所有證書,然後在與服務端進行Https網路通訊的時候,客戶端不必進行證書校驗也能進行網路通訊,否則就會報證書不受信異常。 缺陷:容易受到中間人攻擊。 概覽 TrustManager和Hos

AndroidHttps通訊實現_瞭解Https

概覽 什麼是Https Https和Http的區別 Https證書 什麼是Https HTTPS(全稱:Hypertext Transfer Protocol over Secure Socket Layer),是以安全為目標的HTTP通道,簡單講是

AndroidHttps通訊實現_中間人攻擊、DNS欺騙和會話劫持

上一篇文章記述了在Android中使用Https進行單向認證的配置,但單向認證存在中嚴重的安全漏洞,其中最容易受到中間人攻擊和DNS欺騙以及會話劫持,本文主要講述進行中間人攻擊、DNS欺騙和會話劫持的方式。 概覽 什麼是中間人攻擊 模擬中間人攻擊

深入理解HTTPS通訊原理(單向認證

一、HTTPS簡介HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer),簡單來講就是加了安全的HTTP,即HTTP+SSL;我們知道HTTP通訊時,如果客戶端C請求伺服器S,那麼可以通過網路抓包的形式來獲取資

Android使用WebSocket實現單聊群聊(即時通訊)

一、建立(使用Java-WebSocket庫):1.下載java-websocket.jar   2. 在我們專案的lib目錄下新增這個java_websocket.jar包二、使用 : 其實要實現單聊

AndroidSocket通訊的簡單實現

前言Android Framework 層程式碼中大量使用了 Binder IPC 通訊方式,除此之外,Socket 也是一種重要的 IPC 通訊方式,比如StorageManagerService(8.0 之前叫 MountService)與 Vold 之前的通訊,Syst

AndroidBinder機制實現程序間通訊

           基本上不管是何種開發都會涉及到程序間通訊的問題,即IPC,而安卓系統的IPC方式主要是Binder,先列舉幾種IPC的方式,對比Binder看看。       Linux裡

android利用Socket實現手機客戶端與PC端進行通訊

伺服器端: import java.io.BufferedReader; import java.io.BufferedWriter; import java.io.IOException; import java.io.InputStreamReader; impor

AndroidView滑動實現方式

必須 elf 內部 track 視圖 相對 top roc mar 滑動作為Android中最基礎的特效之一,使用場景非常廣泛。實現的方式也有多種,理解各種滑動的實現方式。清楚在開發中根據自己的實際需求,選擇合理的實現方案。這篇文章從:scrollTo()/scroll

nodehttps請求 | 實現https的請求,獲取圖片,然後轉成base64字節碼

str2 gpo end callback func www. lB nod div get請求 下面實現https的請求,獲取圖片,然後轉成base64字節碼 this.checkCodeUrl = ‘https://www.test.com/kaptcha.jsp‘

android 漸變的實現和SweepGradient 圓形漸變重點注意

Android 的自定義View神通廣大,可以實現各種複雜的樣式,漸變圓弧就是其中的一種。 1 shape 實現漸變 這個比較簡單就是定義一個漸變的shape。 <?xml version="1.0" encoding="utf-8"?> <shape xm

android 使用TextView實現分段顯示不同顏色的字串

一、最容易想到的是使用多個TextView,設定其android:textColor="#000000" 二、使用HTML標籤 String content="我要顯示<font color='#FF0000'>紅色</font>"; TextVi

Android使用Intent實現一般頁面跳轉和帶引數頁面跳轉

一、Intent介紹 Intent的理解       Intent, 直譯為意圖, 也就是你想要做什麼或想要去哪?       Intent是Activity, Service和BroadcastReceiver這三個應用元

AndroidFragment+Viewpager實現左右滑動和點選

一.佈局檔案 <?xml version="1.0" encoding="utf-8"?> <android.support.v4.view.ViewPager android:id="@+id/viewpager" andr

Android應用TabLayout實現頂部Tab小選單加滑動效果

TabLayout控制元件是2015年google大會上,google釋出了新的Android Support Design庫,裡面包含了幾個新的控制元件,其中就有一個TabLayout,它就可以完成TabPageIndicator的效果,而且還是官方的,最好的是它可以相容

Androidrecyclerview+pullToRefresh實現上拉重新整理和下拉載入

一. 依賴 implementation 'com.jwenfeng.pulltorefresh:library:1.0.3' 要把minSdkVersion 改為16以上 二.佈局 <LinearLayout xmlns:android="http:/

Android利用RecyclerView實現瀑布流效果

RecyclerView相比於傳統的ListView,功能更加強大,使用也比較方便,因此Android官方更加推薦使用RecycleView,未來也會有更多的程式逐漸從ListView轉向RecycleView。為此,首先先來了解下RecycleView的用法。當然,最先看

Android呼叫第三方實現美團城市選擇

    1.新增依賴 compile 'com.zaaach:citypicker:1.1'     2.清單檔案中新增 <activity android:name="com.zaaach.citypicker.CityPickerActivity" andr

Android呼叫API實現查詢身份證資訊

要實現這個功能,首先就要知道如何通過Http協議訪問網路,向網路傳送請求,其次瞭解如何解析JSON或者XML檔案。1.我的身份證查詢介面是在聚合資料申請的,完成認證後,你會得到一個KEY,這在之後會用到。2.建立佈局檔案<LinearLayout xmlns:andro

Android使用AsyncTask實現下載檔案動態更新進度條功能

1. 泛型AysncTask<Params, Progress, Result>Params:啟動任務時傳入的引數,通過呼叫asyncTask.execute(param)方法傳入。Progress:後臺任務執行的進度,若不用顯示進度條,則不需要指定。Result