Java如何跳过https的ssl证书验证详解

发布时间:2020-08-31 10:29:31 作者:莫问以
来源:脚本之家 阅读:421

打开亿速云首页,明显看到链接是https打头,https和http的通信协议差别,在于https安全性更高:

Java如何跳过https的ssl证书验证详解

http和https的差别

很明显,二者最大的区别在于https多了一个ssl证书验证,可以说https是身披SSL外壳的http。因为http存在如下缺陷:

1)通信使用明文,内容可能被窃听(重要密码泄露)

2)不验证通信方身份,有可能遭遇伪装(跨站点请求伪造)

3)无法证明报文的完整性,有可能已遭篡改(运营商劫持)

而https是利用SSL/TLS建立全信道,加密数据包。HTTPS使用的主要目的是提供对网站服务器的身份认证,同时保护交换数据的隐私与完整性。

Java如何跳过https的ssl证书验证详解

https握手过程(单向认证)

补充:"SSL"证书和CA证书究竟有什么区别?

CA是数字证书管理机构,而SSL证书只是数字证书的一种,CA机构签发SSL证书,所以说,SSL是CA颁发的证书中的一种。
所以,从理论上来说,如果服务端采用https协议,而自己没有ssl证书(服务端不提供ssl证书),那么通信是不可能成功的。所以,这里有两个解决思路:

1、确认是单向认证还是双向认证,Server端是否校验Client端(存在这种情况,服务端虽采用https协议,但并不校验CA证书,如果需要校验,那服务端至少得提供秘钥)
2、可以忽略服务器证书校验(将hostname校验和CA证书校验同时关闭)

网上最常用的,就是利用jdk生成keyStore文件,该方法忽略服务器证书校验的方法,网上有很多示例,但是暂未找到可用的,先写到这里吧。。。。。

在针对http进行升级时,在HTTPS的证书未经权威机构认证的情况下,访问HTTPS站点的两种方法,一种方法是把该证书导入到Java的TrustStore文件中,另一种是自己实现并覆盖JSSE缺省的证书信任管理器类。两种方法各有优缺点,第一种方法不会影响JSSE的安全性,但需要手工导入证书;第二种方法虽然不用手工导入证书,但需要小心使用,否则会带来一些安全隐患。

**Java获取url相关参数的几个常用方法:**

1、request.getRequestURL()返回的是完整的url,包括Http协议,端口号,servlet名字和映射路径,但它不包含请求参数。

2、request.getRequestURI()得到的是request URL的部分值,并且web容器没有decode过的

3、request.getContextPath() 返回the context of the request.

4、request.getServletPath()返回调用servlet的部分url.

5、request.getQueryString()返回url路径后面的查询字符串

示例:

当前url:http://localhost:8080/CarsiLogCenter_new/idpstat.jsp?action=idp.sptopn

request.getRequestURL() --http://localhost:8080/CarsiLogCenter_new/idpstat.jsp
request.getRequestURI() -- /CarsiLogCenter_new/idpstat.jsp
request.getContextPath() --/CarsiLogCenter_new
request.getServletPath() -- /idpstat.jsp
request.getQueryString() --action=idp.sptopn

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持亿速云。

推荐阅读:
  1. 哪些网站需要HTTPS(SSL证书)
  2. OpenSSl生成SSL证书(支持https)

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

java https ssl

上一篇:如何解决php中empty报错的问题

下一篇:CSS3实现聊天气泡效果的方法是什么

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》