Https基础知识与开发过程中的常见坑点
一.http与https
-
Http(HyperText Transfer Protocol 超文本传输协议),是互联网上使用最广泛的一种协议,所有WWW文件必须遵循的标准。HTTP协议传输的数据都是未加密的,也就是明文的,因此使用HTTP协议传输隐私信息非常不安全。使用TCP端口默认为80
-
Https (Hyper Text Transfer Protocol over Secure Socket Layer 安全的超文本传输协议),网景公式设计了SSL(Secure Sockets Layer)协议用于对Http协议传输的数据进行加密,保证会话过程中的安全性。使用TCP端口默认为443
二. 对称加密和非对称加密
-
对称加密
对称加密指的就是加密和解密使用同一个秘钥,所以叫做对称加密。对称加密只有一个秘钥,作为私钥。 常见的对称加密算法:DES,AES,3DES等等。 -
非对称加密
非对称加密指的是:加密和解密使用不同的秘钥,一把作为公开的公钥,另一把作为私钥。公钥加密的信息,只有私钥才能解密。私钥加密的信息,只有公钥才能解密。 常见的非对称加密算法:RSA,ECC
三. SSL协议加密方式
SSL协议即用到了对称加密也用到了非对称加密,在建立传输链路时,SSL首先对对称加密的密钥使用非对称加密的公钥进行加密,链路建立好之后,SSL对传输内容使用对称加密的秘钥进行加密。选择两种加密方式,是根据这两种加密方式的特点决定的。
对称加密:速度高,可加密内容较大,用来加密会话过程中的消息
非对称加密:加密速度较慢,但能提供更好的身份认证技术,用来加密对称加密的密钥
四. https认证方式
https的认证方式有两种,单向认证和双向认证。
-
单向认证
单向认证图.jpg
1. 客户端向服务端发送SSL协议版本号、加密算法种类、随机数等信息。
2. 服务端给客户端返回SSL协议版本号、加密算法种类、随机数等信息,同时也返回服务器端的证书,即公钥证书
3. 客户端使用服务端返回的信息验证服务器的合法性,包括:
1. 证书是否过期
2. 发型服务器证书的CA是否可靠
3. 返回的公钥是否能正确解开返回证书中的数字签名
4. 服务器证书上的域名是否和服务器的实际域名相匹配
验证通过后,将继续进行通信,否则,终止通信
4. 客户端向服务端发送自己所能支持的对称加密方案,供服务器端进行选择
5. 服务器端在客户端提供的加密方案中选择加密程度最高的加密方式。
6. 服务器将选择好的加密方案通过明文方式返回给客户端
7. 客户端接收到服务端返回的加密方式后,使用该加密方式生成产生随机码,用作通信过程中对称加密的密钥,使用服务端返回的公钥进行加密,将加密后的随机码发送至服务器
8. 服务器收到客户端返回的加密信息后,使用自己的私钥进行解密,获取对称加密密钥。
在接下来的会话中,服务器和客户端将会使用该密码进行对称加密,保证通信过程中信息的安全。
-
双向认证
双向认证和单向认证原理基本差不多,只是除了客户端需要认证服务端以外,增加了服务端对客户端的认证,具体过程如下:
双向认证图.jpg
1. 客户端向服务端发送SSL协议版本号、加密算法种类、随机数等信息。
2. 服务端给客户端返回SSL协议版本号、加密算法种类、随机数等信息,同时也返回服务器端的证书,即公钥证书
3. 客户端使用服务端返回的信息验证服务器的合法性,包括:
1. 证书是否过期
2. 发型服务器证书的CA是否可靠
3. 返回的公钥是否能正确解开返回证书中的数字签名
4. 服务器证书上的域名是否和服务器的实际域名相匹配
验证通过后,将继续进行通信,否则,终止通信
4. 服务端要求客户端发送客户端的证书,客户端会将自己的证书发送至服务端
5. 验证客户端的证书,通过验证后,会获得客户端的公钥
6. 客户端向服务端发送自己所能支持的对称加密方案,供服务器端进行选择
7. 服务器端在客户端提供的加密方案中选择加密程度最高的加密方式
8. 将加密方案通过使用之前获取到的公钥进行加密,返回给客户端
9. 客户端收到服务端返回的加密方案密文后,使用自己的私钥进行解密,获取具体加密方式,而后,产生该加密方式的随机码,用作加密过程中的密钥,使用之前从服务端证书中获取到的公钥进行加密后,发送给服务端
10. 服务端收到客户端发送的消息后,使用自己的私钥进行解密,获取对称加密的密钥,在接下来的会话中,服务器和客户端将会使用该密码进行对称加密,保证通信过程中信息的安全。
特别说明:上文的很大的内容都是源自Https单向认证和双向认证一文,感觉写的很易懂,就摘抄过来,然后部分添加上自己的补充说明。再次向原作者致敬,尊重别人的劳动成果,从我做起!
五.开发常见问题
-
为什么https要有两种认证方式?
这个问题主要看应用场景,单向认证是客户端认证,主要适用于一些对外的网站,他们的目的主要是数据加密,安全传输,而不需要验证客户端的身份。而双向认证是客户端和服务端的双向认证,使用场景是企业级的应用对接,也就是说某些企业的接口是定向的,需要授权,所以多了一步服务端的验证,这是两种方式存在的根本区别和使用场景。
-
对于单向认证的接口,调用时报握手失败,主要是服务器端使用了未被信任的证书,所以在客户端的验证通不过,这时候我们可以设置http client为不验证证书的状态,下面我们以okhttp为例
private static OkHttpClient getUnsafeOkHttpClient() {
try {
// Create a trust manager that does not validate certificate chains
final TrustManager[] trustAllCerts = new TrustManager[]{
new X509TrustManager() {
@Override
public void checkClientTrusted(java.security.cert.X509Certificate[] chain, String authType) throws CertificateException {
}
@Override
public void checkServerTrusted(java.security.cert.X509Certificate[] chain, String authType) throws CertificateException {
}
@Override
public java.security.cert.X509Certificate[] getAcceptedIssuers() {
return new java.security.cert.X509Certificate[]{};
}
}
};
// Install the all-trusting trust manager
final SSLContext sslContext = SSLContext.getInstance("SSL");
sslContext.init(null, trustAllCerts, new java.security.SecureRandom());
// Create an ssl socket factory with our all-trusting manager
final SSLSocketFactory sslSocketFactory = sslContext.getSocketFactory();
OkHttpClient.Builder builder = new OkHttpClient.Builder();
builder.sslSocketFactory(sslSocketFactory);
builder.hostnameVerifier(new HostnameVerifier() {
@Override
public boolean verify(String s, SSLSession sslSession) {
return true;
}
});
builder.connectTimeout(60, TimeUnit.SECONDS)
.readTimeout(65, TimeUnit.SECONDS).build();
OkHttpClient okHttpClient = builder.build();
return okHttpClient;
} catch (Exception e) {
throw new RuntimeException(e);
}
}
这里面主要关注两个点,SSLSocketFactory与HostnameVerifier的设置,SSLSocketFactory,这个东西就是用来管理证书和信任证书的,HostnameVerifier用来解决我们的请求证书和服务器的证书不一致的问题的。
- 如果是双向验证,设置上面的忽略证书还是不能用的,因为即使客户端不验证了,你也还是逃不过服务端的验证,这时候没办法,我们必须带上正确的keystore,一般是企业直接给到keystore文件和密码。要在发送https请求的时候带上这两个,也有两种方法,一种是设置全局变量
System.setProperty("javax.net.ssl.trustStore", "keystore文件的路径");
System.setProperty("javax.net.ssl.trustStorePassword", "keystore密码");
System.setProperty("javax.net.ssl.keyStoreType", "JKS");
System.setProperty("javax.net.ssl.keyStore", "keystore文件的路径");
System.setProperty("javax.net.ssl.keyStorePassword", "keystore密码");
这种方法是设置全局的,弊端很明显,所有涉及到https的请求都会使用上述配置,必定会引起“打架”,造成一方不能正确使用,不可取。当然我们很有第二种方式,http client中携带上述信息
public static OkHttpClient getHttpsHttpClient(InputStream keyStoreInputStream, String keyStorePsd, int timeout) {
return new OkHttpClient.Builder().sslSocketFactory(buildSSLSocketFactory(keyStoreInputStream, keyStorePsd))
.connectTimeout(timeout, TimeUnit.SECONDS)
.readTimeout(timeout, TimeUnit.SECONDS).build();
}
private static SSLSocketFactory buildSSLSocketFactory(InputStream keyStoreInputStream, String keyStorePsd) {
try {
KeyStore clientKeyStore = KeyStore.getInstance(KeyStore.getDefaultType());
clientKeyStore.load(keyStoreInputStream, keyStorePsd.toCharArray());
TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
trustManagerFactory.init(clientKeyStore);
SSLContext sslContext = SSLContext.getInstance("TLS");
KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
keyManagerFactory.init(clientKeyStore, keyStorePsd.toCharArray());
sslContext.init(keyManagerFactory.getKeyManagers(), trustManagerFactory.getTrustManagers(), new SecureRandom());
return sslContext.getSocketFactory();
} catch (Exception e) {
logger.error("创建SSLSocketFactory失败,e:{}", e);
throw new RuntimeException(e);
}
}
keyStoreInputStream是keyStore文件的文件流,keyStorePsd就是密码,这样我们将https请求的影响范围缩短到这个client中,就不会相互影响了。
