ndg.httpsclient.ssl_peer_verification库中SUBJ_ALT_NAME_SUPPORT的应用案例

SUBJ_ALT_NAME_SUPPORT是ndg.httpsclient库中的一个常量，用于判断是否支持Subject Alternative Name（SAN）扩展字段的解析。此扩展字段用于在SSL证书中包含其他主机名或IP地址，以允许使用单个证书对多个域名进行加密通信。

下面是一个使用ndg.httpsclient库的示例代码，演示如何使用SUBJ_ALT_NAME_SUPPORT常量判断是否支持SAN扩展字段，并通过一个HTTPS请求来验证证书的主机名是否与请求的URL相匹配：

import ssl
from ndg.httpsclient.subj_alt_name import SubjectAltName

# 检查是否支持SAN扩展字段
if not ssl.HAS_SNI or not getattr(ssl, 'HAS_ALPN', False):
    raise Exception("SAN extensions not supported in this version of OpenSSL.")

# 创建一个包含受信任CA证书的SSL上下文
ctx = ssl.create_default_context()

# 增加对SUBJ_ALT_NAME支持的证书验证回调函数
def verify_subject_alt_name(cert, hostname):
    if SubjectAltName(cert).dns_name_match(hostname):
        return
    raise ssl.CertificateError("hostname doesn't match certificate")

ctx.verify_mode = ssl.CERT_REQUIRED
ctx.check_hostname = True
ctx.verify_flags = (
    ssl.VERIFY_DEFAULT |
    ssl.VERIFY_CRL_CHECK_LEAF |
    ssl.VERIFY_X509_STRICT |
    ssl.VERIFY_PARTIAL_CHAIN
)
ctx.verify_callback = verify_subject_alt_name

# 发起一个HTTPS请求
import urllib.request

url = 'https://www.example.com/'
response = urllib.request.urlopen(url, context=ctx)
data = response.read()

# 打印请求结果
print(data)

在该示例代码中，我们首先通过ssl.HAS_SNI和ssl.HAS_ALPN属性判断当前版本的OpenSSL是否支持SAN扩展字段。如果不支持，则抛出异常。

接下来，我们创建了一个包含受信任CA证书的SSL上下文。然后定义了一个验证SAN扩展字段的回调函数verify_subject_alt_name。该函数会使用SubjectAltName类来检查证书的主机名是否与请求的URL相匹配，如果不匹配，则抛出ssl.CertificateError异常。

最后，我们使用urllib.request模块发起了一个HTTPS请求，并传入上述创建的SSL上下文对象。如果证书的主机名与请求的URL匹配，并且证书是受信任的，则请求成功，返回的数据会被打印出来。

这个示例演示了如何使用ndg.httpsclient库中的SUBJ_ALT_NAME_SUPPORT常量，并结合其他SSL库中的功能来验证证书的主机名是否与请求的URL相匹配。这种验证可以帮助我们防止恶意的中间人攻击。