• 14
  • 14
分享

1.HTTPS协议

HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议。简单来说, HTTP是超文本传输协议 ,信息是明文传输。SSL 是指安全套接字层,它是一项标准技术,使用加密算法打乱传输中的数据,可确保互联网连接安全。

所以HTTPS是超文本传输安全协议。

TLS(传输层安全)是更为安全的升级版 SSL。由于 SSL 这一术语更为常用,因此我们仍然将我们的安全证书称作 SSL。

如果某个网站受 SSL 证书保护,其相应的 URL 中会显示 HTTPS,单击浏览器地址栏的挂锁图标,即可查看证书详细信息,包括颁发机构和网站所有者的公司名称。

1.1Https的优点:

  1. 认证用户和服务器,确保数据发送到正确的客户机和服务器 。(验证证书)

  2. 加密并维护数据的完整性,确保数据在传输过程中不被改变。(加密,摘要算法)

一般支持HTTPS的网站,都是CA(Certificate Authority)机构颁发的证书,一般机构颁发的证书都是需要交费的,购买受信任机构颁发的证书每年要交 100 到 500 美元不等的费用,到期就需要续费。如果证书过期、已被吊销或者非证书所代表的域名,都是不被浏览器信任的。不被浏览器信任,也就无法通过网络直接访问。

我们可以使用自签名的方式,花一分钱让网络能正常的访问获取到服务器数据,访问链接时手动信任该证书或忽略证书验证,以后就不会继续拦截了。

自签名证书不适合大众,大众看见浏览器给出的警告??(提示“不安全”),感觉怪吓人的!

如果用于网站的证书需要被大众信任,就不要使用自签发的证书,建议向证书签发机构购买一个。

通过自签发的方式,可以加密数据,还是适合公司内部使用的。

如果已经购买了https证书,网络框架正常使用就好了,下面介绍的是没有购买https证书,又想用https加密数据,以okhttp网络框架为例,如何实现自签名证书。

2.什么是自签名证书( self-signed certicates)

自签名证书就是没有通过受信任的证书颁发机构 自己给自己颁发的证书.

SSL 证书大致分三类:

由安卓认可的证书颁发机构(如: VeriSign、DigiCert), 或这些机构的下属机构颁发的证书.

没有得到安卓认可的证书颁发机构颁发的证书.

自己颁发的证书, 分临时性的(在开发阶段使用)或在发布的产品中永久性使用的两种.

以下是客户端配置

2.1 Okhttp中使用自签名证书

OkHttp是一款开源的处理网络请求的轻量级框架,有Square公司贡献,用于替代HttpUrlConnection与Apache HttpClient。OkHttp使用完全教程

2.2 如何生成keystore

通过JDK自带的keytool.exe 生成一个自己的证书,终端输入 keytool -genkey -v -keystore android.keystore -alias wenzhibin -keyalg RSA -validity 20000 -keystore /Users/jxxxx/yanhuomatou2015.keystore ,然后回车,按提示填写余下的环节即可生成证书如下图:

1.jpg

注意:wenzhibin是keystore文件的别名,20000 是keystore文件的有效期(天),/Users/jxxxx/是生成到哪里去(自己指定一个路径),yanhuomatou2015.keystore是keystore文件的名字。

2.3通过keystore文件如何导出自签名证书

终端输入 keytool -exportcert -alias wenzhibin -file yanhuomatou2015.cer -keystore yanhuomayou2015.keystore ,回车即可导出证书。

2.jpg

2.4如何使用自签名证书

首先获取证书流有两种方式,

第一种方式:将导出的证书放到assets文件夹里面,然后获取(这种方式证书会被打包到apk里)

第二种方式:打开证书,拷贝证书里的内容,定义成字符串常量,再将字符串转为流的形式(这种方式证书就不会被打包到apk里)

然后创建秘钥,添加证书进去,接着创建信任管理器工厂并初始化秘钥

最后获取SSL上下文对象,并初始化信任管理器

3.jpg

3.信任所有证书(不建议使用)

如果服务端更换了证书,那么客户端同样需要更换对应https证书才行,否则无法正常交互获取不到数据。此时如果客户端不换证书又想获取到服务器数据,可以通过实现X509TrustManager接口,达到信任所有证书的目的。如下图:

4.jpg

以下是服务端配置

4.准备工作,首先需要安装Tomcat。

4.1登录Apache Tomcat官网,

地址 http://tomcat.apache.org ,点击左边的Download,选择需要下载的版本。

5.jpg

4.2 右键Finder—>前往文件夹—> ~/Library/ 目录下。

把下载完成的压缩包解压,命名为Tomcat,拷贝到这里。

6.jpg

4.3 打开终端,输入 cd /Users/jxxxxx/Library/Tomcat/bin,然后回车

7.png

(ps:jxxxxx是你mac电脑的用户名。也可以直接输入 cd,然后把Tomcat的bin目录拖到终端即可)

4.4再输入:./startup.sh ,回车

8.png

如果出现Permission denied就是操作失败,缺少权限。再输入 sudo chmod 755 *.sh,回车,接着输入 ./startup.sh,就可以启动Tomcat了:

9.jpg

出现Tomcat started就说明服务器打开了。

(ps:sudo sh shutdown.sh 关闭服务器,然后再输入sudo sh startup.sh 打开服务器,表示服务器重启)

4.5打开我们的浏览器

然后网址输入 http://localhost:8080/,如果出现一只猫,则证明配置成功~(Tomcat部署在自己电脑上,所以可以用localhost代替具体的ip地址)

5.修改,配置Tomcat 参数

5.1在ROOT目录下新建json数据,如图

10.jpg

5.2在conf文件夹下。

11.jpg

12.jpg

之前生成的keystore文件拷贝到conf文件夹下,并打开serve.xml,修改配置,注意,红框里的内容都是新添加进去的配置,而且keystoreFile=“填写自己的keystore文件名” keystorePass=“keystore文件密码”。

5.3 最后保存退出。

打开终端 输入 sudo sh shutdown.sh,再输入sudo sh startup.sh ,待服务器重起成功。

6.浏览器测试https自签名证书效果

13.jpg

14.jpg

15.jpg

手动信任证书点击”高级“—>“继续前往”,最终看到了服务器返回了yanhuomatou2015.json的数据。

7.android网络请求okhttps框架测试https自签名证书效果:

7.1使用android原生框架实现,如下图

16.jpg

17.jpg

7.2除了上面的原生框架实现。

还可以用第三方框架实现,以okhttp框架为例,如下图:

18.jpg

19.jpg

总结:不管用原生还是第三方框架,都能成功获取tomcat服务器的数据,如下图android studio打印的:

20.jpg



作者:文质彬_已然未然

原文链接:https://blog.csdn.net/yanhuomatou2015/article/details/109161789


  • 【留下美好印记】
    赞赏支持
登录 后发表评论
+ 关注

热门文章

    最新讲堂

      • 推荐阅读
      • 换一换
          •   据多位小伙伴反馈,支付宝于今日上午出现服务异常,付款时显示“支付失败”“交易创建失败”“服务异常”等。  此外,有网友称支付宝出现余额宝提现未到账、花呗还款扣款成功但账单没清等。  与此同时,“支付宝崩了”话题也出现在微博热搜。截至发文,支付宝官方暂未给出回应。作者:汪淼原文链接:IT之家(ithome.com)
            0 0 163
            分享
          • 一切的开始某天,发生着我们每个测试工程师都可能遇到的场景:项目经理老王:小明,现在大家都在搞测试自动化,我们也用自动化的手段提高效率吧。测试猿小明:好的。测试猿小明:经理,我研究了下,结论是这样的:自动化测试分为UI自动化和接口自动化。前者从UI发起,可以模拟用户在web上点击从而测试功能;后者从接口发起,能从接口层面确保接口功能。一般来说,UI变化大,接口变动小,大部分的UI自动化都是保障基本功能,接口自动化保障服务提供能力。所以,一般不建议使用UI自动化测试各种异常场景,原因不是不能测,而是维护工作量太大。最后,项目经理权衡各种利弊,决定使用UI先做基本功能的自动化,用来做回归测试和线上基...
            13 13 2020
            分享
          •   自动化测试框架由一组最佳实践,通用工具和库组成,可帮助测试人员评估多个Web和移动应用的功能,安全性,可用性和可访问性。而在,软件开发世界中有很多的自动化测试框架,该如何选择?  虽然技术团队可以构建复杂的自动化测试框架,但是当可以选择现有的开源工具,库和测试框架获时,则可以选择适合自己的框架,来节省开发成本和时间。在选择开源的自动化测试框架时,务必关注这些关键要素,比如可重用、易于维护、最少的人工干预、稳定性、可扩展等。  如何选择测试自动化框架?  由于不同的业务有不同的需求,因此很难在自动化测试框架中匹配所有的因素。但是,大多数企业会在自动化测试框架中遵循一些关键标准。  易于脚本开...
            0 0 1731
            分享
          • 1.引言部分1.1项目背景本测试报告的具体编写目的,指出预期的读者范围。(3-4句) 本测试报告为(系统名称)系统测试报告;本报告目的在于总结测试阶段的测试及测试结果分析,描述系统是否达到需求的目的。本报告预期参考人员包括测试人员、测试部门经理、项目管理人员、SQA人员和其他质量控制人员。1.2参考资料  《XXXX需求说明书》  .....缺陷记录    测试用例2.测试基本信息2.1测试范围 (---需求规格说明书(列表整理)产品模块子模块功能测试点优先级负责人QQ邮箱收件箱群邮件群邮件的删除功能1、邮件的删除2、邮件彻底删除高xxx草稿箱...
            2 2 2614
            分享
          •   小编已经在内测抽奖系统了,快来填问卷、赢礼品吧!链接:http://vote.51testing.com/   (本次礼包好物多多:大容量马克杯、畅销测试书籍)  在初学Python过程中,会遇到这样的概念,一个类下面会有多个方法,有的叫类方法、有的叫静态方法,还有的叫实例方法。当调用他们的时候,不免会有点蒙圈,那么他们之间的区别是什么呢?  和类属性一样,类方法可以进行细致地划分为类方法、实例方法和静态方法。  表象区别就是:  类方法前用@classmethod修饰  静态方法前用@staticmethod修饰  不加任何修饰的就是实例方法(普通方法)  用法区别 ...
            0 0 1349
            分享
      • 51testing软件测试圈微信