Java 中发起 HTTPS 请求并忽略 SSL 证书验证
在 Java 中发起 HTTPS 请求并忽略 SSL 证书验证不是一个推荐的做法,因为这样会使应用程序易受中间人攻击。但是在某些情况下,如开发或测试环境中,你可能需要临时跳过 SSL 证书验证。
以下是一个使用 HttpURLConnection 类的示例,你可以在其中忽略 SSL 证书验证。请注意,这种做法不应该用于生产环境。
import javax.net.ssl.*;import java.io.InputStream;import java.net.HttpURLConnection;import java.net.URL;public class HttpsClient {public static void main(String[] args) {try {trustAllHosts(); // 忽略 SSL 证书验证URL url = new URL("https://your-https-url.com");HttpURLConnection connection = (HttpURLConnection) url.openConnection();if (connection instanceof HttpsURLConnection) {((HttpsURLConnection) connection).setHostnameVerifier((hostname, session) -> true);}connection.setRequestMethod("GET");connection.connect();// 读取响应InputStream inputStream = connection.getInputStream();byte[] response = inputStream.readAllBytes();System.out.println(new String(response));inputStream.close();connection.disconnect();} catch (Exception e) {e.printStackTrace();}}private static void trustAllHosts() {try {// 设置自定义的信任管理器,信任所有证书TrustManager[] trustAllCerts = new TrustManager[]{new X509TrustManager() {public java.security.cert.X509Certificate[] getAcceptedIssuers() {return null;}public void checkClientTrusted(java.security.cert.X509Certificate[] certs, String authType) {}public void checkServerTrusted(java.security.cert.X509Certificate[] certs, String authType) {}}};// 激活这样的信任管理器SSLContext sc = SSLContext.getInstance("SSL");sc.init(null, trustAllCerts, new java.security.SecureRandom());HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());} catch (Exception e) {e.printStackTrace();}}}
注意:
- 上述代码通过一个自定义的
X509TrustManager实现来忽略所有 SSL 证书验证。 HostnameVerifier接口也被覆盖以信任所有主机名。- 在生产环境中,请确保始终验证 SSL 证书并增加相关的安全措施。可以通过配置生产环境所需的信任库来进行适当的证书验证。