Android-Android如何通过https接口数据交互?

Android-Android如何通过https接口数据交互?

清晨说ぺ晚安 发布于 2017-07-22 字数 101 浏览 1100 回复 4

网上交易、银行等应用设计到安全的应用都要考虑数据安全的问题,Android如何通过https接口数据交互?

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(4

浮生未歇 2017-09-10 4 楼

知道服务端的证书,客户段保存一个。 当发起请求的时候,服务端验证。
做一个自接受证书的,服务端返回什么证书,客户端接受什么。 然后请求的时候带过去。 我用的就是这种。

优劣: 第一种安全些。 第二种快捷些。 我用过第二种。

清晨说ぺ晚安 2017-08-28 3 楼

提醒一点,对于配置了https的操作系统不一定就安全了,主要是输入用户名密码的时候即使配置了https,任然可以获得账号密码。攻击方法如下:
1.对于采用数字键盘的,当输入用户密码的时候可以启动一个带屏幕录像功能的程序,然后传回录像。
2.可以采用分析网页表单元素的方法(可以使用提供的COM控件,或分析网页源代码),获得用户名、密码框的文本,即使把密码框设置成了密码类型的元素。之前XXX程序上开发过这个插件,超级爽啊!

另外,去一个https网站上访问未必就安全了,很多钓鱼网站都是可以使用https的。例如可以xxx攻击的方法欺骗用户去做好的Google Gmail假网站上输入用户名密码,一个星期几千的账号啊。

夜无邪 2017-08-17 2 楼

对于https 交互过程,第一点,采用了网站可信的方式,如有需要验证域名和证书是否一致的,需要自我扩展。

实现的过程:
1)注册scheme of https
2)获取 httpClient 和 httpPost
3)获取数据

想挽留 2017-08-03 1 楼

Google的大多数android app是采用https安全验证的,和普通的http交互多了一步访问(获得临时授权token)
首先是通过用户名和密码拿到临时的一个token
然后拿到token向https发起二次请求。此时google会验证两点,一个是token是否合法,另一个死发送过来的“对象”是不是他封装的格式(proto buff),两者具备,就很容易欺骗google。

所以https只是保证了传输的安全,但是真正安全的死角在于客户端的代码是否能做到不被别人反编译,最终让第三方无法构造出自己定义的格式。