安卓与HTTPS
2016-04-16 15:28
507 查看
公司的项目,出于安全考虑,使用https的方式来交互数据。这段时间也是被https折磨了一下,以一个新手的角度记录下Android下https的相关东西。
首先,https是需要证书才能访问到的,对于开发者来说,这个证书后台会提供的。拿到证书之后,网络请求要加上这个证书的信息有两种方式:
1、第一种就是把证书文件放置在assets下面,然后在Application的onCreate方法内加上如下代码来读取且设置证书
正常情况下,使用以上任意一种方式之后,就能请求到https接口的数据了。但是作为新手总是会遇到坑... 笔者就发现,测试环境的https完全正常,但是正式环境的https却访问不到数据了,证书当然是正确的,那么是为什么呢?
原来,大多数情况下,服务器所使用的根证书是自签名的,或者签名机构不在设备的信任证书列表中,这样使用httpclient进行https连接就会失败。解决这个问题的办法有两种,一是在发起https连接之前将服务器证书加到httpclient的信任证书列表中,这个相对来说比较复杂一些,很容易出错;另一种办法是让httpclient信任所有的服务器证书,这种办法相对来说简单很多,但安全性则差一些,但在某些场合下有一定的应用场景。
好吧,笔者还是选择后者好了,在加了如下代码信任所有服务器证书之后,问题解决。
![](http://static.blog.csdn.net/xheditor/xheditor_emot/default/struggle.gif)
首先,https是需要证书才能访问到的,对于开发者来说,这个证书后台会提供的。拿到证书之后,网络请求要加上这个证书的信息有两种方式:
1、第一种就是把证书文件放置在assets下面,然后在Application的onCreate方法内加上如下代码来读取且设置证书
try { OkHttpClientManager.getInstance().setCertificates(getAssets().open("abc.cer")); } catch (IOException e) { e.printStackTrace(); }这里网络请求使用的是OkHttp,“abc.cer”是证书的名字,setCertificates方法如下:
public void setCertificates(InputStream... certificates) { try { CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509"); KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType()); keyStore.load(null); int index = 0; for (InputStream certificate : certificates) { String certificateAlias = Integer.toString(index++); keyStore.setCertificateEntry(certificateAlias, certificateFactory.generateCertificate(certificate)); try { if (certificate != null) certificate.close(); } catch (IOException e) { } } SSLContext sslContext = SSLContext.getInstance("TLS"); TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm()); trustManagerFactory.init(keyStore); sslContext.init( null, trustManagerFactory.getTrustManagers(), new SecureRandom() ); mOkHttpClient.setSslSocketFactory(sslContext.getSocketFactory()); } catch (Exception e) { e.printStackTrace(); } }2、如果不想放证书进入,可以读取出来证书的内容,然后用如下方式
final String CER_XXX = "aaaaaa"; // 证书内容 try { OkHttpClientManager.getInstance().setCertificates(new Buffer() .writeUtf8(CER_XXX) .inputStream()); } catch (IOException e) { e.printStackTrace(); }
正常情况下,使用以上任意一种方式之后,就能请求到https接口的数据了。但是作为新手总是会遇到坑... 笔者就发现,测试环境的https完全正常,但是正式环境的https却访问不到数据了,证书当然是正确的,那么是为什么呢?
原来,大多数情况下,服务器所使用的根证书是自签名的,或者签名机构不在设备的信任证书列表中,这样使用httpclient进行https连接就会失败。解决这个问题的办法有两种,一是在发起https连接之前将服务器证书加到httpclient的信任证书列表中,这个相对来说比较复杂一些,很容易出错;另一种办法是让httpclient信任所有的服务器证书,这种办法相对来说简单很多,但安全性则差一些,但在某些场合下有一定的应用场景。
好吧,笔者还是选择后者好了,在加了如下代码信任所有服务器证书之后,问题解决。
![](http://static.blog.csdn.net/xheditor/xheditor_emot/default/struggle.gif)
mOkHttpClient.setHostnameVerifier(new HostnameVerifier() { @Override public boolean verify(String hostname, SSLSession session) { return true; } });
相关文章推荐
- HttpServletResponse 和 HttpServletRequest的应用场景
- 网络的介数中心性(betweenness)及计算方法
- iOS应用访问不了网络的解决方法 App Transport Security has blocked a cleartext HTTP
- HttpClient 教程
- 网络:YYModel 使用(JSON到模型的转换)
- 网络:RSA 加密
- 网络:对称加密
- 网络:自定义模型转 JSON
- hdu4971A simple brute force problem[【网络流最大流】
- 南邮第八届程序设计竞赛之网络预选赛小结 一(错题集)
- 网络:提交 JSON 到服务器中
- OKHttp源码解析
- [学习笔记]Java网络编程之TCP通讯
- VMware10中的Linux系统利用NAT网络连接方式访问外网配置
- [学习笔记]Java网络编程之UDP通讯
- CentOS7 最小化安装后启用无线连接网络
- 网络:上传文件(单个与多个)
- HTTP 访问接口封装,app开发中常用
- [学习笔记]XMLHttpRequest实现局部刷新
- 使用 Retrofit 和 okhttp 强制缓存失效问题