在Android应用中使用自定义证书的HTTPS连接(上)

最新推荐文章于 2023-10-11 14:18:23 发布
转载 最新推荐文章于 2023-10-11 14:18:23 发布 · 585 阅读 · 0

转载自http://blog.youkuaiyun.com/raptor/article/details/18896375

前言

由于移动设备使用的网络环境各种各样,而且常常接入不安全的公共WIFI——如果你对公共WIFI环境的安全性没有警惕性的话,就难怪你开发出不安全的程序,把你的用户置于危险境地——这话一点都不夸张。

而要想在不安全的网络环境下安全地使用网络,最好的办法就是通过VPN连接到安全网络环境中去。但这并不总是能够保证的。所以需要应用开发者在开发的时候尽量减少用户的安全风险。

通过HTTPS连接网络是一种常用的方法。但是在实际使用中存在几个困难:

* 使用商业证书的成本
* 使用自定义证书不被系统承认
* 忽略证书验证则可能被“中间人攻击”

本文将针对这些问题讨论技术解决方案。

因为最近又开始试用Android Studio,所以这里的Demo是用Android Studio 0.4.2写的。完整的Demo代码可以在bitbucket获得:https://bitbucket.org/raptorz/democert

基本的HTTP连接方式

首先来看基本的HTTP连接方式实现,程序的项目框架是直接用向导生成后略作修改。主要就是增加一个异步网络调用的任务,任务内容大致为:

[java]  view plain  copy
  1. HttpUriRequest request = new HttpGet(url);  
  2. HttpClient client = DemoHttp.getClient();  
  3. try {  
  4.     HttpResponse httpResponse = client.execute(request);  
  5.     int responseCode = httpResponse.getStatusLine().getStatusCode();  
  6.     String message = httpResponse.getStatusLine().getReasonPhrase();  
  7.     HttpEntity entity = httpResponse.getEntity();  
  8.     if (responseCode == 200 && entity != null)  
  9.     {  
  10.         return parseString(entity);  
  11.     }  
  12. }  
  13. finally {  
  14.     client.getConnectionManager().shutdown();  
  15. }  
  16. return "";  

上面这个函数功能就是创建一个HttpClient去GET url的内容,如果HTTP返回值为200(即无错误),则返回响应内容。

重点就在DemoHttp.getClient()里,对于基本的HTTP连接,以下是实现部分代码:

[java]  view plain  copy
  1. public static HttpClient getClient() {  
  2.     BasicHttpParams params = new BasicHttpParams();  
  3.     HttpProtocolParams.setVersion(params, HttpVersion.HTTP_1_1);  
  4.     HttpProtocolParams.setContentCharset(params, HTTP.DEFAULT_CONTENT_CHARSET);  
  5.     HttpProtocolParams.setUseExpectContinue(params, true);  
  6.   
  7.     SchemeRegistry schReg = new SchemeRegistry();  
  8.     schReg.register(new Scheme("http", PlainSocketFactory.getSocketFactory(), 80));  
  9.   
  10.     ClientConnectionManager connMgr = new ThreadSafeClientConnManager(params, schReg);  
  11.     return new DefaultHttpClient(connMgr, params);  
  12. }  

实际的实现代码当然比上面这两段多得多了,Java就是这么麻烦,一点小事都要写一大堆代码,为节约篇幅就不全部列出了,参见bitbucket上的完整代码吧。

顺便说一句,写网络通讯应用别忘记在Manifest.xml里加上相应的权限,否则会出一些很奇怪的错误。

HTTP连接的主要问题在于在传输过程中的内容都是明文,只要在同一网段内使用嗅探程序即可获得网内其它设备与服务器之间的通讯内容,完全没有安全性。

使用系统承认的商业证书的HTTPS连接方式

在上面的例子中,如果尝试用https连接的话,会报错称不支持https: Scheme 'https' not registered。最简单的解决办法就是参照HTTP的方式,加入对HTTPS的支持:

[java]  view plain  copy
  1. schReg.register(new Scheme("https", SSLSocketFactory.getSocketFactory(), 443));  

关键代码就这么一句。

现在就可以像打开HTTP链接一样打开有效的HTTPS连接了,比如: https://www.google.com.hk 。但可耻的 12306 的HTTPS却不行,因为它使用了不被系统承认的自定义证书:No peer certificate 。

这个方案使用了HTTPS连接,传输内容经过加密,嗅探程序已经无法获得通讯内容。而服务器的证书经过合法签名,被系统所承认,正常通讯也没有问题。

但是需要花钱买证书。

使用自定义证书并忽略验证的HTTPS连接方式

如果不想花钱,那么就只能用OPENSSL自己做一个证书,但问题在于,这个证书得不到系统的承认,后果同 12306 。为了解决这个问题,一个办法是跳过系统校验。

要跳过系统校验,就不能再使用系统标准的SSLSocketFactory了,需要自定义一个。然后为了在这个自定义SSLSocketFactory里跳过校验,还需要自定义一个TrustManager,在其中忽略所有校验,即TrustAll。

以下就是SSLTrustAllSocketFactory和SSLTrustAllManager的实现:

[java]  view plain  copy
  1. public class SSLTrustAllSocketFactory extends SSLSocketFactory {  
  2.   
  3.     private static final String TAG = "SSLTrustAllSocketFactory";  
  4.     private SSLContext mCtx;  
  5.   
  6.     public class SSLTrustAllManager implements X509TrustManager {  
  7.   
  8.         @Override  
  9.         public void checkClientTrusted(X509Certificate[] arg0, String arg1)  
  10.                 throws CertificateException {  
  11.         }  
  12.   
  13.         @Override  
  14.         public void checkServerTrusted(X509Certificate[] arg0, String arg1)  
  15.                 throws CertificateException {  
  16.         }  
  17.   
  18.         @Override  
  19.         public X509Certificate[] getAcceptedIssuers() {  
  20.             return null;  
  21.         }  
  22.   
  23.     }  
  24.   
  25.     public SSLTrustAllSocketFactory(KeyStore truststore)  
  26.             throws Throwable {  
  27.         super(truststore);  
  28.         try {  
  29.             mCtx = SSLContext.getInstance("TLS");  
  30.             mCtx.init(nullnew TrustManager[] { new SSLTrustAllManager() },  
  31.                     null);  
  32.             setHostnameVerifier(SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);  
  33.         } catch (Exception ex) {  
  34.         }  
  35.     }  
  36.   
  37.     @Override  
  38.     public Socket createSocket(Socket socket, String host,  
  39.                                int port, boolean autoClose)  
  40.             throws IOException, UnknownHostException {  
  41.         return mCtx.getSocketFactory().createSocket(socket, host, port, autoClose);  
  42.     }  
  43.   
  44.     @Override  
  45.     public Socket createSocket() throws IOException {  
  46.         return mCtx.getSocketFactory().createSocket();  
  47.     }  
  48.   
  49.     public static SSLSocketFactory getSocketFactory() {  
  50.         try {  
  51.             KeyStore trustStore = KeyStore.getInstance(KeyStore.getDefaultType());  
  52.             trustStore.load(nullnull);  
  53.             SSLSocketFactory factory = new SSLTrustAllSocketFactory(trustStore);  
  54.             return factory;  
  55.         } catch (Throwable e) {  
  56.             Log.d(TAG, e.getMessage());  
  57.             e.printStackTrace();  
  58.         }  
  59.         return null;  
  60.     }  
  61.   
  62. }  

最后在注册scheme时使用这个Factory:

[java]  view plain  copy
  1. schReg.register(new Scheme("https", SSLTrustAllSocketFactory.getSocketFactory(), 443));  

这样就可以成功打开 12306 的内容了。

不过这个方案虽然用了HTTPS,通讯的内容也经过了加密,嗅探程序也无法知道内容。但是通过更麻烦一些的“中间人攻击”,还是可以窃取通讯内容的:

在网内配置一个DNS,把目标服务器域名解析到本地的一个地址,然后在这个地址上用一个中间服务器作代理,它使用一个假的证书与客户端通讯,然后再由这个代理作为客户端连到实际的服务器,用真的证书与服务器通讯。这样所有的通讯内容就会经过这个代理。而因为客户端不校验证书,所以它用来加密的证书实际上是代理提供的假证书,那么代理就可以完全知道通讯内容。这个代理就是所谓的“中间人”。

但是不幸的是,网上搜到的大部分关于自定义证书的HTTPS连接实现都是用这种忽略验证的方式实现的。

所以我们需要更安全的方式。详见下篇。


Android studio访问选程https接口(.crt handshake)
11-18 1420
首先服务器是https的,必然有几个文件,比方说apache版本的就有xx.key xx.chain.crt xx.public.crt,没有这三个文件,你是不搞不出来https的,这是官方申请来的文件,具有权威性。说句心里话,这玩意是很繁琐,是难者不会会者不难的事,细心按我说的来,会成功的,网上大部分不准的,太多针对老版本,很难解决问题,调试的Bug,连AI都有点懵,所以写个文章供以后查阅。// 返回包含您的证书的数组。,哪里提示红色的直接按提示去包含个包就好了,没有非标准库的内容,放心使用
android使用自定义证书https连接
08-08
使用.bks格式的自定义证书HTTPS连接方式,验证自定义证书。 参考博客http://blog.youkuaiyun.com/raptor/article/details/18898937
android中进行https连接的方式
Frank的专栏
04-25 4649
转载地址:点击打开链接 如果不需要验证服务器端证书,直接照这里做 public class Demo extends Activity { /** Called when the activity is first created. */ private TextView text; @Override p
[Android实例] android中进行https连接的方式的详解
宝爷的专栏
05-28 855
如果不需要验证服务器端证书,直接照这里做。     public class Demo extends Activity {         /** Called when the activity is first created. */             private TextView text;         @Override
Android应用使用自定义证书HTTPS连接(下)
猛禽的编程艺术
02-02 3万+
因为这部分才是本文的重点,要说得详细一点,所以单独做成一篇来说。
Android中通过.bks格式自定义证书实现HTTPS连接
本文将详细介绍如何在Android应用使用.bks格式的自定义证书建立HTTPS连接。 首先,了解SSL/TLS证书的作用是非常重要的。SSL/TLS证书用于在服务器和客户端之间建立加密通道,并通过证书颁发机构(CA)进行身份验证...
Android项目中使用HTTPS配置的步骤详解
08-30
Android项目中使用HTTPS配置是一项非常重要的任务,主要是为了确保网络传输的安全性。HTTPS(Hypertext Transfer Protocol Secure)是基于HTTP的安全版本,它使用SSL/TLS协议来加密数据,以保护数据在传输过程中的...
Android 用自签名证书实现https请求
jsc702325的专栏
08-05 7844
Android 用自签名证书实现https请求一.概要为了保护用户的信息安全、保护自己的商业利益,减少攻击面,我们需要保障通信信道的安全,采用开发方便的HTTPS是比较好的方式,比用私有协议要好,省时省力。但是如果HTTPS使用不当,就很难起到应有的保护效果。例如有人为了省事选择信任所有证书的方式绕过证书的认证,这样https的作用就完全没意义了。下面我就用Android比较流行的网络框架okhtt
Android Studio 实现 HttpsURLConnection Post 请求发送与接收
最新发布
07-18
资源下载链接为: https://pan.quark.cn/s/abbae039bf2a 在 Android 开发中,HTTPS 是保障数据传输安全的重要手段,而 HttpsURLConnection 是实现 HTTPS 通信的关键工具。HTTPS 是 HTTP 与 SSL/TLS 的结合,通过加密和身份验证确保数据安全。在 Android Studio 中,使用 HttpsURLConnection 发送 POST 请求并处理响应的步骤如下: 初始化连接:创建 URL 对象并指定目标地址,通过 openConnection() 获取 HttpsURLConnection 实例: 设置请求方法:将请求方法设置为 POST,默认为 GET: 启用输出流:设置 setDoOutput(true) 以允许写入请求体: 设置请求头:根据需要设置请求头,例如 Content-Type: 写入请求体:通过 DataOutputStream 将 POST 数据写入连接: 处理响应:读取服务器返回的响应码和响应体: 关闭连接:请求完成后关闭连接以释放资源: 在实际开发中,可能还需要处理异常、设置超时、处理证书等复杂情况。例如,如果服务器使用自签名证书,可能需要忽略证书验证,但这会削弱安全性,因此不推荐在生产环境中使用。在提供的 test_https 文件中,可能包含了一个简单的 DEMO 示例,用于演示上述步骤。通过这个 DEMO,开发者可以更好地理解如何在 Android Studio 中使用 HttpsURLConnection 发送 POST 请求。总之,掌握这些步骤对于 Android 开发者来说至关重要,它可以帮助开发者安全地与 HTTPS 服务器进行交互。
Android信任Https自签名证书详细教程
hyhlmy的博客
04-04 1万+
Android信任自签名证书前言问题描述环境准备生成自签名证书搭建tomcat服务器tomcat配置证书代码实现信任所有证书(不推荐)信任指定证书导入自签名证书信任自签名证书代码总结示例代码地址 前言 在上一篇 一文读懂Https原理 中,我主要介绍了Https的安全机制和实现原理,比较偏向于理论研究,可能会有点抽象。为了加深理解,今天写一篇Https的实战教程,主要介绍HttpsAndroid...
HTTPS 原理浅析及其在 Android 中的使用
2301_78145669的博客
06-12 1508
在App中,把服务端证书放到资源文件下(通常是asset目录下,因为证书对于每一个用户来说都是相同的,并且也不会经常发生改变),但是也可以放在设备的外部存储上。// 在这里进行服务器正式的名称的配置@Overridei++) {try {try {复制@Overridetry {try {复制。
https证书Android中的各种使用方法
weixin_42602900的博客
05-14 1552
一:https 不验证证书方式(信任所有证书) // 初始化一个client public static void setClient(Context context){ //创建一个OKHttpClient对象,官方推荐这个对象越少越好,就类似单例模式那样,复用这个对象 Log.d("siwen", "new OkHttpClient"); if (mOkHttpClient == null){ mOkHttpClient = new OkHttpClient().
Android Studio的笔记--HttpsURLConnection使用POST请求
weixin_45208598的博客
10-11 2349
HttpsURLConnection POST ,https post请求示例,根据指定url和令牌访问并拿到返回值
Android https TrustManager checkServerTrusted 详解
菜鸟博客
01-25 4475
在okhttp源码解析中详细的分析了下其内部原理,现在就okhttp配置https的东东做一个简单的笔记。 网上查询的一些Okhttp中忽略HTTPS验证的代码如下所示。 TrustManager[] trustAllCerts = new TrustManager[]{new X509TrustManager() { @Override public void checkClientTrusted(java.security.cert.X
Android Studio的下载,安装,配置,插件
qq_36699930的博客
05-14 2万+
Android Studio下载 下面三个地址都可以下载: https://developer.android.google.cn/studio http://www.android-studio.org/ https://www.androiddevtools.cn/ Android Studio安装步骤 双击安装包: 依次出现以下界面,点击next即可: 设置AS安装路径: 这里...
Android Studio中HTTP的请求
热门推荐
lgwdbbws的博客
03-12 3万+
1.HttpUrlConnection 1,什么是Http请求? HTTP请求是客户端和服务器端之间,发送请求和返回应答的 标准( TCP)。 客户端发出一个HTTP请求后,就与服务器建立起了TCP连接, 服务端接收到请求并进行处理后返回给客户端响应数据。 2,什么是HttpUrlConnection? HttpURLConnection是java的标准指定网站发送GET...
Android Studio 指定签名证书文件
u011987034的专栏
03-07 6659
1.先参照Android Studio中创建keystore生成指定的证书文件。 2.在app/build.gradle文件中增加 signingConfigs字段:如下所示: 12345678910111213141516171819202122232425262728293031323334353637383940apply plugin: 'com.android.app
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值