Android okhttp访问https的问题

最新推荐文章于 2025-07-23 12:04:03 发布
原创 最新推荐文章于 2025-07-23 12:04:03 发布 · 1.2k 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#Android #ssl #https #okhttp
本文介绍了Android访问HTTPS时的SSL校验原理,包括证书的所有者校验、颁发者比对、签名解密等步骤。针对Android可能出现的证书异常情况,提供了添加自定义证书的代码示例和操作指南,帮助解决证书未知、自签署和缺少中间CA等问题。

原理

  https相比于http,多了ssl层,并且在我们访问的时候,是需要证书来校验的。一般的流程是这样的:
(1)首先浏览器读取证书中的证书所有者、有效期等信息进行一一校验
(2)浏览器开始查找操作系统中已内置的受信任的证书发布机构CA,与服务器发来的证书中的颁发者CA比对,用于校验证书是否为合法机构颁发
(3)如果找不到,浏览器就会报错,说明服务器发来的证书是不可信任的。
(4)如果找到,那么浏览器就会从操作系统中取出 颁发者CA 的公钥,然后对服务器发来的证书里面的签名进行解密
(5)浏览器使用相同的hash算法计算出服务器发来的证书的hash值,将这个计算的hash值与证书中签名做对比
(6)对比结果一致,则证明服务器发来的证书合法,没有被冒充
(7)此时浏览器就可以读取证书中的公钥,用于后续加密了


  对于我们Android来说,从 Android 4.2 开始,Android系统包含了100 多个 CA证书,所以我们在访问某些https网站时,不需要再自己添加CA。
但是某些情况下,我们还是会出现如下异常:

javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found.
        at org.apache.harmony.xnet.provider.jsse.OpenSSLSocketImpl.startHandshake(OpenSSLSocketImpl.java:374)
        at libcore.net.http.HttpConnection.setupSecureSocket(HttpConnection.java:209)
        at libcore.net.http.HttpsURLConnectionImpl$HttpsEngine.makeSslConnection(HttpsURLConnectionImpl.java:478)
        at libcore.net.http.HttpsURLConnectionImpl$HttpsEngine.connect(HttpsURLConnectionImpl.java:433)
        at libcore.net.http.HttpEngine.sendSocketRequest(HttpEngine.java:290)
        at libcore.net.http.HttpEngine.sendRequest(HttpEngine.java:240)
        at libcore.net.http.HttpURLConnectionImpl.getResponse(HttpURLConnectionImpl.java:282)
        at libcore.net.http.HttpURLConnectionImpl.getInputStream(HttpURLConnectionImpl.java:177)
        at libcore.net.http.HttpsURLConnectionImpl.getInputStream(HttpsURLConnectionImpl.java:271)

原因有以下三点:
1、颁发服务器证书的 CA 未知
2、服务器证书不是由 CA 签署的,而是自签署
3、服务器配置缺少中间 CA

这三种情况下都有一个相同的解决办法,那就是在请求前添加自己的证书:

2、Code

(1) 证书工具类:

import android.util.Log;
import java.io.IOException;
import java.io.InputStream;
import java.security.GeneralSecurityException;
import java.security.KeyManagementException;
import java.security.KeyStore;
import java.security.NoSuchAlgorithmException;
import java.security.cert.Certificate;
import java.security.cert.CertificateFactory;
import java.util.Arrays;
import java.util.Collection;

import javax.net.ssl.KeyManagerFactory;
import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLSocketFactory;
import javax.net.ssl.TrustManager;
import javax.net.ssl.TrustManagerFactory;
import javax.net.ssl.X509TrustManager;

import okio.Buffer;

public class HttpsManager {
    private static HttpsManager instance;
    private static X509TrustManager trustManager;
    private static SSLSocketFactory sslSocketFactory;

    private HttpsManager(){
        setSocketFactory();
    }

    public static HttpsManager getInstance(){
        if (instance==null){
            instance = new HttpsManager();
        }
        return instance;
    }

    private void setSocketFactory() {
        try {
            trustManager = trustManagerForCertificates(trustedCertificatesInputStream());
            SSLContext sslContext = SSLContext.getInstance("TLS");
            sslContext.init(null, new TrustManager[]{trustManager}, null);
            sslSocketFactory = sslContext.getSocketFactory();
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
        } catch (KeyManagementException e) {
            e.printStackTrace();
        } catch (GeneralSecurityException e) {
            e.printStackTrace();
        }
    }

    public X509TrustManager getManager(){
        return trustManager;
    }

    public SSLSocketFactory getSslSocketFactory(){
        return sslSocketFactory;
    }

    private InputStream trustedCertificatesInputStream() {

        String servicesCertificationAuthority = ""
                +"-----BEGIN CERTIFICATE-----\n" +
                "content\n" +
                "-----END CERTIFICATE-----\n";
        String comodoRsaCertificationAuthority = ""
                + "-----BEGIN CERTIFICATE-----\n" +
                "content\n" +
                "-----END CERTIFICATE-----\n";
        String entrustRootCertificateAuthority = ""
                + "-----BEGIN CERTIFICATE-----\n" +
                "content\n" +
                "-----END CERTIFICATE-----\n";
//        return new Buffer()
//                .writeUtf8(servicesCertificationAuthority)
//                .writeUtf8(comodoRsaCertificationAuthority)
//                .writeUtf8(entrustRootCertificateAuthority)
//                .inputStream();
        try {
            return MyApplication.ctx.getAssets().open("server.cer");
        } catch (IOException e) {
            Log.e("Error","Trans fail");
            return null;
        }
    }

    private X509TrustManager trustManagerForCertificates(InputStream in) throws
            GeneralSecurityException {
        CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");
        Collection<? extends Certificate> certificates = certificateFactory.generateCertificates(in);
        if (certificates.isEmpty()) {
            throw new IllegalArgumentException("expected non-empty set of trusted certificates");
        }

        // Put the certificates a key store.
        char[] password = "password".toCharArray(); // Any password will work.
        KeyStore keyStore = newEmptyKeyStore(password);
        int index = 0;
        for (Certificate certificate : certificates) {
            String certificateAlias = Integer.toString(index++);
            keyStore.setCertificateEntry(certificateAlias, certificate);
        }

        // Use it to build an X509 trust manager.
        KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(
                KeyManagerFactory.getDefaultAlgorithm());
        keyManagerFactory.init(keyStore, password);
        TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(
                TrustManagerFactory.getDefaultAlgorithm());
        trustManagerFactory.init(keyStore);
        TrustManager[] trustManagers = trustManagerFactory.getTrustManagers();
        if (trustManagers.length != 1 || !(trustManagers[0] instanceof X509TrustManager)) {
            throw new IllegalStateException("Unexpected default trust managers:"
                    + Arrays.toString(trustManagers));
        }
        return (X509TrustManager) trustManagers[0];
    }

    private KeyStore newEmptyKeyStore(char[] password) throws GeneralSecurityException {
        try {
            KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
            InputStream in = null; // By convention, 'null' creates an empty key store.
            keyStore.load(in, password);
            return keyStore;
        } catch (IOException e) {
            throw new AssertionError(e);
        }
    }
}
(2)

这段代码来自于Okhttp代码示例,我自己做了一些修改。

  这里解释一下 trustedCertificatesInputStream方法返回的是一个流,这个就是你自己的证书流,使用方式2种,一种是把cer证书文件打开,拷贝字符串,2是放在asserts文件夹下,获取出来。单例的话,你可以自己优化一下。

  下面说一下如何从web页面导入证书:

1、在访问的页面点连接前的锁标志.
111

2、选择详细信息在这里插入图片描述

3、依次下一步,存到指定位置即可。在这里插入图片描述

这样导出的就是一个cer文件了,当然用notepad++打开会发现里面就是一些如字符串型的。

(3)使用方式:
        OkHttpClient.Builder builder = createClientBuilder();
        builder.sslSocketFactory(manager.getSslSocketFactory(), manager.getManager());
(4)next

  接下来就快去请求https吧。如果还是不行,请叫上后台的老哥,问问他中间证书配置了没有,给你的证书正不正确。

3、结尾

  说一下,其实一般CA颁发的证书都是可以访问的,要不就是服务器配置的问题,要不就是证书是自签的。

主要来源:
1、谷歌爸爸的Android开发者网址,中文的

2、一位大佬的-----HTTPS原理和CA证书申请

Android使用自签证书利用Okhttp进行HTTPS接口的安全连接
卡卡尔的专栏
02-11 6127
在上一篇文章中,我们自己生成了证书,创建了最简单的接口,实现了让浏览器信任了我们的证书,那么,在Android上要怎么做呢?在android中,其实也是差不多的概念,android的app都会默认使用系统的受信任证书列表, 我们可以参考android官网https://developer.android.com/training/articles/security-config?hl=zh-cn#certificates里面的说明来学习,这个受信任列表是可以切换的,并且都有默认值
Android开发之Https网络请求实践
informationchina的博客
05-30 1852
Android开发之Https网络请求实践 文章目录前言一、引入okhttp二、创建MyTrustManager类2.1 建一个类为MyTrustManager,实现接口X509TrustManager三.新建OkHttpUtil类实现Get、Post方法3.1 类中需定义全局OkHttpClient和MediaType:3.2 定义createSSLSocketFactory方法,用于创建SSLSocketFactory3.3 定义getX509TrustManager方法用于获取X509TrustMan
Android okHttp访问https接口报错
qq_26297271的博客
06-20 1381
使用retrofit + okhttp 访问https接口会报错: 出现这个问题是没有对 OkhttpClient 的SSL进行配置解决方法:在对OkhttpClient进行配置的时候,新增sslSocketFactory的配置
Android OkHttp实现HTTPS访问,支持Android 4.X系统HTTPS访问
不学习傻了吧
02-21 9910
这是目前最完善的Https证书校验工具类,实现了服务端和客户端之间的基于身份认证的交互,并且真正实现了 TrustManger 的 checkServerTrusted() 方法,对服务器证书域名进行了强校验,另外也真正实现了 HostnameVerifier 的 verify() 方法。
AndroidOkHttp请求自定义HTTPS证书接口设置
laizuling的博客
04-15 4374
请求安全性高的接口时,我们可能会使用到HTTPS接口,HTTPS可以理解为HTTP+TLS,关于HTTPS具体是怎么工作的,可以看这篇文章:http://gold.xitu.io/entry/56ef4ff47db2a20052218e0f 如果你的证书是买的Android中内置默认信任的证书颁发机构,则不需要通过此步骤(需要好多钱~但是大部分国内应用不会花那么多钱去买权威机构颁发的证书),如果
Android - OkHttp 访问 https 的怪问题
GitLqr的博客
04-21 2239
才是主流,但有可能存在个别网站不支持,所以,我们在使用 OkHttp 发起 https 请求之前,首先要搞清楚,就是服务端(接口)支持的 ssl 协议有哪些。最近使用 OkHttp 访问 https 请求时,在个别 Android 设备上遇到了几个问题,搜罗网上资料,经过一番实践后,问题得到了解决,同时,我也同步升级了我的 https 证书忽略库。的 Android 4.x 设备上,在高版本 Android 系统上并未发现,所以,为了降低风险,将上述代码做了系统版本控制,运行情况是否稳定还在观察中。
掌握Android HTTPS网络访问的三种方法
最新发布
weixin_35815766的博客
07-23 983
在Java中,HttpsURLConnection是URLConnection的一个子类,专用于处理HTTPS协议的网络请求。与普通HTTP连接不同,HTTPS连接提供了更为安全的连接方式,通过SSL/TLS协议来加密通信,从而保护数据传输的安全性。HTTPS连接的建立首先需要通过URL实例来获取HttpsURLConnection对象。以下是基本的步骤:接下来,可以配置一些连接参数,例如设置请求方法(GET、POST等)、添加请求头、配置超时时间等:// 设置请求方法。
android P版本使用okhttp3最新版本网络无法正常访问问题
高高的山上
05-22 2738
通过使用OKhttp3访问 http://www.baidu.com 发现一直在报错,花了很长时间发现是因为android P版本默认使用https并禁用http。 问题原因是导入了最新版本的okhttp3,发现在android studio上无法正常访问网络并且一直报错 implementation("com.squareup.okhttp3:okhttp:3.14.2") log日志报错 ...
Android导不进okhttp3,android P版本使用okhttp3最新版本网络无法正常访问问题
weixin_36163672的博客
05-28 977
通过使用OKhttp3访问 http://www.baidu.com 发现一直在报错,花了很长时间发现是因为android P版本默认使用https并禁用http。问题原因是导入了最新版本的okhttp3,发现在android studio上无法正常访问网络并且一直报错 implementation("com.squareup.okhttp3:okhttp:3.14.2")log日志报错 Cau...
android https——okhttp实现https请求
热门推荐
boolean的博客
10-23 1万+
定义: HTTPS全称为Hypertext Transfer Protocol over Secure Socket Layer 中文含义为“超文本传输协议在安全加密字层” 简单来说就是加密数据传输和安全连接。https和http有什么区别 在HTTP的之下加入了SSL (Secure Socket Layer),安全的基础就靠SSLSSL位于TCP/IP和HTTP协议之间https
Android Okhttp请求https配置信任证书
Chen_xiaobao的博客
08-17 2087
Android Okhttp请求https配置信任证书。
Android OkHttp中添加https支持
假装你是大灰狼的专栏
04-30 3006
基础知识 感觉就是一堆有信誉的机构,说: 我们这些机构的公钥是可信的,我们下面的小弟当然也是可以信任的啦 然后大家就去当人家小弟,就是可信的了…. 当然这里面有的大佬不高兴,就自己搞一套证书,比如12306 Https中,值得注意的密钥有: 服务器端的公钥和私钥 客户端的随机密钥 值得注意的是一个HTTPS请求实际上就是两次HTTP传输. 1.客户端向服务器发起HTTPS请求,连接到服务器的443端口。 2.服务端收到请求,向客户端发送自己的公钥 3.客户端收到服务器公钥,开始验证证书的合法性,我们知道
Android Okhttp 配置HTTPS
菜鸟博客
05-15 1110
package com.net; import android.support.annotation.Nullable; import android.text.TextUtils; import android.util.Log; import com.bocitools.utils.BociLog; import com.bocitools.utils.BociUtil; import com.bocitools.utils.FileUtil; import com.google.gson.Gson;
Android解决okhttpUtils框架无法在4.4.4以下系统访问https协议的问题
weixin_30267253的博客
05-17 4958
公司因为网络安全的问题,将http协议换成了https协议,之前使用的okhttputils包在4.4.4以下的安卓系统中访问https协议的接口会报错,提示我因为没有ssl协议的问题。          起初我以为是我自己的框架问题,因为用习惯了okhttpuitls框架,不想更换。就去github上面查找了(推荐dependencies在添加github上面的托管项目,而不要下载一个第三方项
Android OkHttpHttps的处理
仰望星空
07-30 9633
android的开发过程中,我们目前常用到的网络请求框架基本都是基于Okhttp,而Https网络通信在APP的开发中也被应用的越来越多,Okhttp默认是支持https网络请求的,但是支持的Https网站必须是CA机构认证了的,对于自签名的网址,还是不能访问的,访问直接抛出如下异常信息: onFailure: java.security.cert.CertPathValidatorExc...
android okhttp使用 https,Android OkHttp3 访问自签名https服务
weixin_36295010的博客
05-27 388
引:在开发中经常遇到自己签名的本地服务,在android开发时报错javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found.1.创建工具类HttpsTrustManagerpackage com.t...
okhttp访问https问题
wl521124的博客
08-07 4083
解决方式有两种: 第一种是绕过https的验证方法: 新建一个SSLSocketClient工具类,添加如下方法:   //获取这个SSLSocketFactory public static SSLSocketFactory getSSLSocketFactory() { try { SSLContext sslContext = SSLContext.getIn...
Android Okhttp使用Https一步到位!EasyHttps使用教程
qq_37301611的博客
11-27 1138
Okhttp框架耳熟能祥了,现在还有了okgo之类的二次开发框架,对于初学者来说Retrofit+rxjava之类的东西,代码也很多了,也没什么新意了。今天来讲讲,怎么使得OKHTTP几行代码支持HTTPS。 1.集成EasyHttps的依赖 1.1 将你的根目录下的build.gradle文件中添加仓库设置 allprojects { repositori...
android通过okhttp访问自签名https网站(单向)
11-12 1101
okhttp可以直接访问https://www.baidu.com等通过CA认证的网站。 自签名网站:通过keytool生成证书,但是还没通过CA认证。
android使用Okhttphttps证书配置
Master-D的博客
12-09 2484
如果是正常的http是不用配置安全证书的,如果是使用了https的话,是必须配置安全证书 项目使用了okhttp 通过对okhttp的builder添加证书校验 OkHttpClient.Builder builder SSLContext sslContext = SSLContextUtil.getDefaultSLLContext(); if (sslContext != null) { SSLSocketFactory socketFactory = sslContext.getSo
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值