更新

1.那么，服务器如何识别客户端的身份？我们如何保证数据传输过程中的安全性？要靠两个东西：使用AppKey做身份识别，使用AppSecret校验数据,最简单有效的办法还是打到.so库中。

2.a和b生成两对公私钥 https://s4.51cto.com/wyfs02/M02/9A/70/wKiom1lV2tOgjaUbAAfY9aWxmNw467.jpg

3.交换公私钥的方法 https://s3.51cto.com/wyfs02/M00/9B/B5/wKioL1lmGSXiAnzRAAFhCQcaUkg121.png-wh_500x0-wm_3-wmp_4-s_2354146804.png

4.中间人攻击

https://ifunbox.top/wp-content/uploads/2017/08/8f8f6a3ae7dc26a66a0d744301fc0e16.png

微信开发

客户端与服务器通信中的安全使者——AppSecret

关于Https安全性问题、双向验证防止中间人攻击问题

http://blog.csdn.net/woddle/article/details/71175140

Android安全开发之安全使用HTTPS

http://www.cnblogs.com/alisecurity/p/5939336.html

2种方法

1.将服务端证书打包放到app里，再建立https链接时使用本地证书和网络下发证书进行一致性校验。

或者

2.生成一对RSA的公私钥，公钥可硬编码在app，私钥放服务器

3.对于webview加载html5进行证书校验的方法如下：

    webview创建实例加载网页时通过onPageStart方法返回url地址; 将返回的地址转发到java层使用上述的证书校验代码进行进行校验; 如果证书校验出错则使用stoploading()方法停止网页加载，证书校验通过则正常加载

完整参考

http://wzlinux.blog.51cto.com/8021085/1908858

1.证书未校验

2.部分校验

3.证书链校验

4.手机客户端Https数据包抓取

5.中间人攻击原理

通过读Mitmproxy的源码发现mitmproxy生成伪造证书的函数如下：

本文转自 liqius 51CTO博客，原文链接：http://blog.51cto.com/szgb17/1947065，如需转载请自行联系原作者