关于HostnameVerifier接口的解读

在项目中我们需要调用https接口请求。我们使用httpClient，构建HttpClient对象时涉及到使用HostnameVerifier接口实例。

HostnameVerifier接口定义如下：

 public abstract interface HostnameVerifier
 {
   public abstract boolean verify(String paramString, SSLSession paramSSLSession);
 }

仅一个方法，参数paramString为请求地址host；参数paramSSLSession是当前请求的SSLSession，可以获取到证书列表，默认实现类DefaultHostnameVerifier的实现如下：

     @Override
     public boolean verify(final String host, final SSLSession session) {
         try {
             final Certificate[] certs = session.getPeerCertificates();
             final X509Certificate x509 = (X509Certificate) certs[0];
             verify(host, x509);
             return true;
         } catch (final SSLException ex) {
             if (log.isDebugEnabled()) {
                 log.debug(ex.getMessage(), ex);
             }
             return false;
         }
     }

接口是用于主机名验证，准确说是验证服务器ca证书中的host是否和请求地址host一致，为什么要进行主机名验证呢？其实目的是加强一层安全防护，防止恶意程序利用中间人攻击。

什么是中间人攻击?

假设有一个攻击者处于“浏览器”和“网站服务器”的通讯线路之间（比如公共WIFI），它的攻击过程如下：

1. 服务器向客户端发送公钥。
2. 攻击者截获公钥，保留在自己手上。
   然后攻击者自己生成一个【伪造的】公钥，发给客户端。
3. 客户端收到伪造的公钥后，生成加密hash值发给服务器。
4. 攻击者获得加密hash值，用自己的私钥解密获得真秘钥。
   同时生成假的加密hash值，发给服务器。
5. 服务器用私钥解密获得假秘钥。

FIddler就是通过这种方式截获HTTPS信息。

上面问题的根源是因为“缺乏身份认证机制”，需要验证【伪造的】公钥是否是网站服务器的，我们客户端httpClient可以通过验证公钥中的host，防止被中间人攻击。

参考资料：

https://blog.csdn.net/fanjint/article/details/81985004

https://www.jianshu.com/p/ad4c7ce94518