C++使用libcurl调用https接口做ssl证书验证

libcurl调用https路径,做SSL的验证有3个参数:CURLOPT_SSL_VERIFYPEER,CURLOPT_SSL_VERIFYHOST,CURLOPT_CAINFO。

设置示例:

CURL *hCurl = curl_easy_init();
curl_easy_setopt(hCurl, CURLOPT_SSL_VERIFYPEER, 1L);
curl_easy_setopt(hCurl, CURLOPT_SSL_VERIFYHOST, 2L);
curl_easy_setopt(hCurl, CURLOPT_CAINFO,  "cert.pem");//cert.pem为curl服务器端提供的根证书文件

CURL_VERIFY_PEER

默认值为1,该参数表示是否验证HTTPS证书的合法性,就是用第三方证书机构颁发的CA数字证书来解密服务端返回的证书,来验证其合法性。可在编译时就将CA数字证书编译进去,也可以通过参数CURLOPT_CAINFO 或者CURLOPT_CAPATH设置根证书。

如果设置0,libcurl就不会对证书的合法性做验证。

CURL_VERIFY_HOST。

默认值为2,参数验证https请求时返回的证书是否与请求的域名相符合,避免被中间者篡改证书文件。规则如下:

  • 检查服务器SSL证书中是否存在一个公用名(common name)。公用名通常就是申请SSL证书的域名或子域名。
  • 检查公用名是否存在,并且是否与提供的主机名匹配。

如果设置为0,表示不验证域名是否符合。

CURLOPT_CAINFO

保存用来让服务端验证的证书的文件名(一个或多个)。需要和CURLOPT_SSL_VERIFYPEER一起使用。

CURLOPT_CAPATH

保存CA证书的目录。需要和CURLOPT_SSL_VERIFYPEER一起使用的。

cacert.pem 里面应该是一些公共证书颁发机构的根证书,会定期进行更新。需要从curl的官网下载,下载地址是https://curl.haxx.se/ca/cacert.pem,更新地址是https://curl.haxx.se/docs/caextract.html。

不安全做法

有时为了调试,可以暂时不验证服务器证书,相关参数设置是

        curl_easy_setopt(easy_handle, CURLOPT_SSL_VERIFYPEER, 0L);

        curl_easy_setopt(easy_handle, CURLOPT_SSL_VERIFYHOST, 0L);

但为了保证请求的安全性,避免中间人攻击,正式环境必须要对证书做验证。


版权声明:著作权归作者所有。

相关推荐

C++队列缓存的实现

为什么使用队列缓存c++的队列缓存主要用于解决大数据量并发时的数据存储问题,可以将并发时的数据缓存到队列中,当数据量变小时再匀速写入硬盘中。 引用queue队列在头文件中引用queue队列#include <queue>using namespace std; 定义缓存结构体struct DataInfo{ char* pBuf;//缓存内容 int iSize;//缓存大小 D

Java Predicate接口的使用

Java 8新增了Predicate接口,它是一个函数接口,提供的test函数会接收一个参数,并返回一个bool值,我们可以用它来做过滤,检测类等功能。源码说明@FunctionalInterfacepublic interface Predicate<T> { /** * 具体过滤操作 需要被子类实现. * 用来处理参数T是否满足要求,可以理解为 条件A

C#对DataTable做LINQ查询

我们是不能直接对DataTable做LINQ查询,DataRowCollection是没有实现IEnumerable<T>。有一些方法可以间接实现对DataTable执行LINQ查询。AsEnumerable()使用DataTable的扩展AsEnumerable(),把DataTable转换为IEnumerable<DataRow>。var results&nb