Android在處理Https請求時如果處理不當會帶來巨大安全隱患,其中原因有開發人員自身對https的不瞭解而導致。編寫此文,幫助廣大開發者提高安全意識,真正利用https防止中間人攻擊。
客戶端與服務端進行接口交互如果使用https有單向認證和雙向認證兩種。
一、SSL協議加密方式
SSL協議即用到了對稱加密也用到了非對稱加密(公鑰加密),在建立傳輸鏈路時,SSL首先對對稱加密的密鑰使用公鑰進行非對稱加密,鏈路建立好之後,SSL對傳輸內容使用對稱加密。
對稱加密
速度高,可加密內容較大,用來加密會話過程中的消息
公鑰加密
加密速度較慢,但能提供更好的身份認證技術,用來加密對稱加密的密鑰
二、https單向認證
三、https雙向認證
【重要!!】在第3步中客戶端校驗服務端證書有效性需要在客戶端代碼中做以下操作:
1、證書是否過期
2、髮型服務器證書的CA是否可靠
3、返回的公鑰是否能正確解開返回證書中的數字簽名
4、服務器證書上的域名是否和服務器的實際域名相匹配