如何从Android进行安全的HTTPS呼叫

Question

连接到HTTPS后端时，来自Android中可用的apache库的常规HTTP调用会产生安全的通信吗？

因为端点是HTTPS，并且假设后端是安全的，那么这是从Android客户端发送密码的有效方法吗？ 请注意，在下面的代码中，密码以普通方式且未加密地插入到POST请求的主体中。

我的代码如下：

// Create post 
String url = "https://example.endpoint.com/token";
HttpClient client = new DefaultHttpClient();
HttpPost post = new HttpPost(url);
HttpResponse response = null;
HttpEntity entity = null;

// Populate the post request            
JSONObject json = new JSONObject();
json.put("username", user);
json.put("password", pass);
StringEntity se = new StringEntity( json.toString() );
se.setContentType(new BasicHeader(HTTP.CONTENT_TYPE, "application/json"));
post.setEntity(se);

// Execute the post request
response = client.execute(post);

使用的库是：

import org.apache.http.HttpEntity;
import org.apache.http.HttpResponse;
import org.apache.http.client.HttpClient;
import org.apache.http.client.methods.HttpPost; 
import org.apache.http.entity.StringEntity;
import org.apache.http.impl.client.DefaultHttpClient;
import org.apache.http.message.BasicHeader;
import org.apache.http.protocol.HTTP;
import org.apache.http.util.EntityUtils;

Answer 1

HTTPS使用SSL，因此是安全的，但不要在每个请求中都发送密码（仅在必要时发送），也不要将其存储在电话中。

如果要提高安全性，也可以添加SSL固定： https : //www.owasp.org/index.php/Certificate_and_Public_Key_Pinning

Answer 2

默认设置大部分是安全的（即正确的证书验证）。 但是，至少Android上可用的apache HTTP库的至少较旧版本不支持SNI（服务器名称指示），因此无法与在同一IP地址上具有不同证书的服务器一起使用。

我也怀疑他们是否对证书是否被吊销进行了适当的检查，但是在这种情况下，它们的安全程度不比浏览器差很多：