热门标签
热门文章
- 1《Linux高性能服务器编程》学习笔记——第八章 高性能服务器程序框架_finite linux
- 2《BERT基础教程:Transformer大模型实战》读书笔记
- 3【毕业设计】深度学习OCR中文识别系统 - opencv python_ocr中文字符识别系统设计与实现
- 4http代理IP适合什么场景使用?HTTP代理IP的优势在哪里呢?
- 5神经网络七十年:回顾与展望
- 6weinview触摸屏编程软件_威纶触摸屏编程软件,如何安装,这里是详细安装教程...
- 7【037期】面试官:Spring Boot 项目中如何处理重复请求和并发请求问题?
- 8华为出鸿蒙是不是给人看的,谁来成为鸿蒙OS失去的“躯壳” 鸿蒙OS(HarmonyOS),在很多人眼中,是华为万物互联的起点,也是反抗之下诞生出的杰作,亦是中国科技史上重要的里程... - 雪球...
- 9【愚公系列】2023年12月 HarmonyOS应用开发者高级认证(完美答案)_认证服务支持下列哪种账号认证
- 10基于matlab的红绿灯自动识别系统_基于matlab的红绿灯识别系统
当前位置: article > 正文
Android使用https
作者:我家自动化 | 2024-03-08 14:28:31
赞
踩
Android使用https
HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。
为了解决HTTP协议的这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS,为了数据传输的安全,HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。
HTTPS和HTTP的区别主要如下:
- https协议需要到ca申请证书,一般免费证书较少,因而需要一定费用。
- http是超文本传输协议,信息是明文传输,https则是具有安全性的ssl加密传输协议。
- http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。
安卓里使用https的步骤如下,创建一个HttpsURLConnection并设置属性,然后去效验本地证书,接着发起请求,接受结果。
1.创建一个HttpsURLConnection并设置属性
- URL url = new URL("https://baidu.com");
- HttpsURLConnection urlConnection = url.openConnection();
- InputStream in = urlConnection.getInputStream();
- urlConnection.setInstanceFollowRedirects(false);
- urlConnection.setDoOutput(true);
- urlConnection.setDoInput(true);
- urlConnection.setConnectTimeout(Common.TIME_OUT);
- urlConnection.setReadTimeout(Common.FILE_TIME_OUT);
- urlConnection.setRequestMethod("POST");
- urlConnection.setRequestProperty("Content-Type", "application/x-www-form-urlencoded; charset=utf-8");
- urlConnection.setRequestProperty("Accept-Encoding", "gzip");
2.效验本地证书有两种方式,一种是不安全的,什么证书都相信,另一种则是只相信指定的证书,对其进行效验。
效验要通过SSLSocketFactory创建的 SSLSocket来进行,默认的 SSLSocketFactory校验服务器的证书时,会信任设备内置的100多个根证书。
- private synchronized SSLSocketFactory getDefaultSSLSocketFactory() {
- try {
- SSLContext sslContext = SSLContext.getInstance("TLS");
- sslContext.init(null, null, null);
- return defaultSslSocketFactory = sslContext.getSocketFactory();
- } catch (GeneralSecurityException e) {
- throw new AssertionError();
- }
- }
校验服务器的证书,其实就是通过TrustManager来操作的,更一般的说是X509TrustManager;
- private static synchronized SSLSocketFactory getDefaultSSLSocketFactory() {
- try {
- SSLContext sslContext = SSLContext.getInstance("TLS");
- sslContext.init(null, new TrustManager[]{
- new X509TrustManager() {
- public void checkClientTrusted(X509Certificate[] x509Certificates, String s) throws CertificateException {
- }
-
- public void checkServerTrusted(X509Certificate[] x509Certificates, String s) throws CertificateException {
- }
-
- public X509Certificate[] getAcceptedIssuers() {
- return new X509Certificate[0];
- }
- }
- }, null);
- return sslContext.getSocketFactory();
- } catch (GeneralSecurityException e) {
- throw new AssertionError();
- }
- }
这种效验过程什么证书都会信任,没有安全性可言,接下来我们看正确的配置。
- public static SSLContext getSSLContext() {
- // 从assets中加载证书,取到证书的输入流
- InputStream is = getApplicationContext().getAssets().open("srca.cer");
- // 证书工厂
- CertificateFactory cf = CertificateFactory.getInstance("X.509");
- Certificate ca = cf.generateCertificate(is);
-
- // 加载证书到密钥库中
- String keyStoreType = KeyStore.getDefaultType();
- KeyStore keyStore = KeyStore.getInstance(keyStoreType);
- keyStore.load(null);
- keyStore.setCertificateEntry("cert", ca);
-
- // 加载密钥库到信任管理器
- String algorithm = TrustManagerFactory.getDefaultAlgorithm();
- TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(algorithm);
- trustManagerFactory.init(keyStore);
- TrustManager[] trustManagers = trustManagerFactory.getTrustManagers();
-
- // 用 TrustManager 初始化一个 SSLContext
- SSLContext sslContext = SSLContext.getInstance("TLS");
- sslContext.init(null, trustManagers, null);
- urlCon.setSSLSocketFactory(sslContext.getSocketFactory());
- }
有个问题:Android P 限制了明文流量的网络请求,非加密的流量请求都会被系统禁止掉,如果当前应用的请求是http请求,而非 https,这样就会导系统禁止当前应用进行该请求,如果WebView 的url用http协议,同样会出现加载失败,https则不受影响。
所以需要做一个简单的配置,在manifest的application标签下增加一行配置,同时增加一个xml文件。
android:networkSecurityConfig="@xml/network_security_config"
- <network-security-config>
- <base-config cleartextTrafficPermitted="true">
- <trust-anchors>
- <certificates src="system" overridePins="true"/>
- <certificates src="user" overridePins="true" />
- </trust-anchors>
- </base-config>
- </network-security-config>
然后传递参数并获取结果
- Iterator<Entry<String, Object>> it = params.entrySet().iterator();
- while (it.hasNext()) {
- Entry<String, Object> element = (Entry<String, Object>) it.next();
- sb2.append(element.getKey());
- sb2.append("=");
- sb2.append(element.getValue());
- sb2.append("&");
- }
- if (sb2.length() > 0) {
- sb2.deleteCharAt(sb2.length() - 1);
- }
- os = urlCon.getOutputStream();
- os.write(sb2.toString().getBytes());
- os.flush();
-
- int statusCode = urlCon.getResponseCode();
- if (statusCode == HttpsURLConnection.HTTP_OK) {
- is = urlCon.getInputStream();
- String contentEncoding = urlCon.getContentEncoding();
- if ((contentEncoding != null) && contentEncoding.contains("gzip")) {
- is = new GZIPInputStream(new BufferedInputStream(is));
- }
- // 创建字节输出流对象
- baos = new ByteArrayOutputStream();
- // 定义读取的长度
- int len = 0;
- // 定义缓冲区
- byte[] buffer = new byte[1024];
- // 按照缓冲区的大小,循环读取
- while ((len = is.read(buffer)) != -1) {
- // 根据读取的长度写入到os对象中
- baos.write(buffer, 0, len);
- }
- // 返回字符串
- String result = new String(baos.toByteArray(), "utf-8");
- }
结尾:
这样一个使用本地证书效验的https请求就算完成了,但是如果不对内容做加密,而只是依赖https通道是不安全的,因为请求https的证书如果还用https,那么就是一个无尽循环,而用http有如何保证安全呢?另外https比较消耗流量,所以可以采用http配合高强度加密的方式来进行网络传输,关于安卓里面使用加解密的知识我会在下一篇文章里编写,我们下周再见。
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/我家自动化/article/detail/210669
推荐阅读
相关标签
