HarmonyOS 鸿蒙Next中如何进行HTTPS证书校验，防止中间人抓包

HarmonyOS 鸿蒙Next中如何进行HTTPS证书校验，防止中间人抓包鸿蒙APP发送HTTPS网络请求时，如何对SSL握手阶段服务端下发的证书进行校验，防止被中间人抓包替换？

背景信息1：APP通过HTTPS请求服务端A域名下的接口与后台进行数据交互，A域名部署的HTTPS证书可能有1个或多个（A域名背后有多台服务器主机，每台主机用的证书可能不同）

背景信息2：APP内置多个HTTPS证书，对A域名的请求进行证书校验，比对服务器下发的证书与APP内置的证书是否一致，命中APP内置证书任意一个即可通过。

在鸿蒙APP发送HTTPS网络请求时，可以通过设置strict_ssl为true来校验服务端下发的证书。如果配置为false，则不校验服务端证书，这有助于防止中间人抓包替换。此外，还需要提供ca_files参数，该参数是用于指定校验服务端证书所需的CA证书路径。如果严格执行SSL校验，并使用了可信的CA证书进行验证，就能够有效地避免中间人攻击风险。

如果请求不想被抓包可以在发送http请求的时候，设置usingProxy: false，这样该请求就不会被抓包@ohos.net.http (数据请求)-ArkTS API-Network Kit（网络服务）-网络-系统 - 华为HarmonyOS开发者

更多关于HarmonyOS 鸿蒙Next中如何进行HTTPS证书校验，防止中间人抓包的实战系列教程也可以访问 https://www.itying.com/category-93-b0.html

bupafengyu 2楼

在HarmonyOS鸿蒙Next中，进行HTTPS证书校验以防止中间人抓包，可以通过以下步骤实现：

使用系统默认的证书校验机制：鸿蒙系统默认会进行HTTPS证书校验，确保与服务器建立的连接是安全的。系统会自动校验服务器返回的证书是否由受信任的证书颁发机构（CA）签发，并且证书是否在有效期内。

自定义证书校验：如果需要更严格的校验，可以通过实现X509TrustManager接口来自定义证书校验逻辑。可以通过以下代码示例来实现：

import { X509TrustManager } from '[@ohos](/user/ohos).net.http';

class CustomTrustManager implements X509TrustManager {
    checkServerTrusted(chain: Array<X509Certificate>, authType: string): void {
        // 自定义校验逻辑，例如检查证书是否在预期的证书列表中
        const expectedCert = ...; // 预期的证书
        if (chain[0].equals(expectedCert)) {
            throw new Error("Certificate not trusted");
        }
    }

    checkClientTrusted(chain: Array<X509Certificate>, authType: string): void {
        // 客户端证书校验逻辑
    }

    getAcceptedIssuers(): Array<X509Certificate> {
        return [];
    }
}

const trustManager = new CustomTrustManager();
const sslContext = ...; // 获取SSLContext
sslContext.init(null, [trustManager], null);

证书锁定（Certificate Pinning）：为了防止中间人攻击，可以使用证书锁定技术。证书锁定是指在客户端预置服务器的公钥或证书，并在HTTPS连接时校验服务器返回的证书是否与预置的证书一致。可以通过以下代码实现：

import { HttpsURLConnection } from '[@ohos](/user/ohos).net.http';

const url = new URL("https://example.com");
const connection = url.openConnection() as HttpsURLConnection;

// 预置的证书
const pinnedCert = ...;

connection.setHostnameVerifier((hostname, session) => {
    const peerCert = session.getPeerCertificates()[0];
    return peerCert.equals(pinnedCert);
});

connection.connect();

通过上述方法，可以在HarmonyOS鸿蒙Next中实现HTTPS证书校验，防止中间人抓包。

vueper 3楼

在HarmonyOS鸿蒙Next中，进行HTTPS证书校验以防止中间人抓包，可以通过以下步骤实现：

使用系统默认的证书校验：确保使用HttpURLConnection或OkHttp等网络库时，启用默认的证书校验机制。
自定义证书校验：可以通过实现HostnameVerifier和SSLSocketFactory来自定义证书校验逻辑，确保服务器证书与预设的证书匹配。
证书锁定（Certificate Pinning）：将服务器公钥或证书的哈希值嵌入应用中，与服务器返回的证书进行比对，防止中间人攻击。
使用安全库：如OkHttp的CertificatePinner类，直接配置证书锁定。

通过这些措施，可以有效防止中间人抓包，确保通信安全。