我的Android项目(OkHttp 3.3.1)目前与我的HTTPS web服务(我的电脑,IIS Web服务器,Asp.Net的Web API,自签名证书)OkHttp与证书钢钉
的辅助方法:
private SSLSocketFactory getSSLSocketFactory()
throws CertificateException, KeyStoreException, IOException,
NoSuchAlgorithmException, KeyManagementException {
CertificateFactory cf = CertificateFactory.getInstance("X.509");
InputStream caInput = getResources().openRawResource(R.raw.iis_cert);
Certificate ca = cf.generateCertificate(caInput);
caInput.close();
KeyStore keyStore = KeyStore.getInstance("BKS");
keyStore.load(null, null);
keyStore.setCertificateEntry("ca", ca);
String tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm();
TrustManagerFactory tmf = TrustManagerFactory.getInstance(tmfAlgorithm);
tmf.init(keyStore);
SSLContext sslContext = SSLContext.getInstance("TLS");
sslContext.init(null, tmf.getTrustManagers(), null);
return sslContext.getSocketFactory();
}
private HostnameVerifier getHostnameVerifier() {
return new HostnameVerifier() {
@Override
public boolean verify(String hostname, SSLSession session) {
HostnameVerifier hv = HttpsURLConnection.getDefaultHostnameVerifier();
return hv.verify("BNK-PC.LOCALHOST.COM", session);
}
};
}
代码A:
OkHttpClient client = new OkHttpClient.Builder()
.sslSocketFactory(getSSLSocketFactory())
.hostnameVerifier(getHostnameVerifier())
.build();
阅读this CertificatePinner guide,我的工程中的后
代码B:
OkHttpClient client = new OkHttpClient.Builder()
.sslSocketFactory(getSSLSocketFactory())
.certificatePinner(certificatePinner)
.hostnameVerifier(getHostnameVerifier())
.build();
据this Wiki,证书钉扎增加了安全性如下添加.certificatePinner(certificatePinner)
当t也是行之有效的。
然而,实际上我还没有清楚地理解这种想法。所以我的问题是,当我的应用程序仍然与代码A一起使用时,是否需要或必须使用certificatePinner
。换句话说,代码B比有更好的安全性代码A?
任何说明所理解的,由于提前。
有很多很好的文章,请[点击这里](http://blog.lumberlabs.com/2012/04/why-app-developers-should-care-about.html)。 –
@MadhukarHebbar为你的链接非常感谢,我读书,也许我需要阅读很多次明白,太多的安全知识,知道什么时候我的英语也不好:) – BNK