OkHttp中https的使用

"https"

Posted by hbl on 2017-03-20

OkHttp中https的使用

最近项目升级使用Https进行网络通信,之前的其实也是https不过没有加相关的校验,正好之前我是负责网络通信加密相关的,就研究了一下具体okhttp中对于https是如何处理的。

简单初始化

一个简单的初始化动作,其中比较关键的就是hostnameVerifier和sslSocketFactory这两个方法

1
2
3
4
5
6
7
8
9
10
11
12
OkHttpClient okHttpClient = new OkHttpClient.Builder()
.connectTimeout(20000L, TimeUnit.MILLISECONDS)
.readTimeout(20000L, TimeUnit.MILLISECONDS)
.addInterceptor(new LoggerInterceptor("TAG"))
.hostnameVerifier(new HostnameVerifier() {
@Override
public boolean verify(String hostname, SSLSession session) {
return true;
}
})
.sslSocketFactory(sslParams.sSLSocketFactory,sslParams.trustManager)
.build();

其中sslSocketFactory传入两个参数,一个是SSLSocketFactory,另一个是TrustManager,通常都是写一个HttpsUtils,里面持有这两个对象,读取本地的一个证书,进行相关初始化赋值动作。 hostnameVerifier则是对服务端返回的一些信息进行相关校验的地方, 用于客户端判断所连接的服务端是否可信,通常默认return true,或者简单校验hostname是否正确,默认不使用的话会调用okhttp的OkHostnameVerifier:

1
2
3
4
5
public boolean verify(String host, X509Certificate certificate) {
return verifyAsIpAddress(host)
? verifyIpAddress(host, certificate)
: verifyHostname(host, certificate);
}

其中会校验IP地址和hostnanme两项,我能可以在这个接口中获取服务端的证书,来校验更多的内容。

调用逻辑

对于一个android开发来说,目前的网络请求框架大部分都是使用okhttp进行网络请求的,okhttputils,或者retrofit,所以了解okhttp是如何具体工作的对于我们平时开发有很大的帮助,推荐http://www.jianshu.com/nb/402595作者介绍了很多关于网络请求方法的源码分析,推荐阅读。接下来步入正题,当我们使用https进行网络请求的时候最终进行连接的类是RealConnection,关键代码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
private void connectTls(int readTimeout, int writeTimeout,
ConnectionSpecSelector connectionSpecSelector) throws IOException {
Address address = route.address();
SSLSocketFactory sslSocketFactory = address.sslSocketFactory();
boolean success = false;
SSLSocket sslSocket = null;
try {
// Create the wrapper over the connected socket.
//创建Socket
sslSocket = (SSLSocket) sslSocketFactory.createSocket(
rawSocket, address.url().host(), address.url().port(), true /* autoClose */);
// Configure the socket's ciphers, TLS versions, and extensions.
ConnectionSpec connectionSpec = connectionSpecSelector.configureSecureSocket(sslSocket);
if (connectionSpec.supportsTlsExtensions()) {
Platform.get().configureTlsExtensions(
sslSocket, address.url().host(), address.protocols());
}
// Force handshake. This can throw!
//初次握手
sslSocket.startHandshake();
Handshake unverifiedHandshake = Handshake.get(sslSocket.getSession());
// Verify that the socket's certificates are acceptable for the target host.
//校验,回调hostnameVerifier.verify方法
if (!address.hostnameVerifier().verify(address.url().host(), sslSocket.getSession())) {
X509Certificate cert = (X509Certificate) unverifiedHandshake.peerCertificates().get(0);
throw new SSLPeerUnverifiedException("Hostname " + address.url().host() + " not verified:"
+ "\n certificate: " + CertificatePinner.pin(cert)
+ "\n DN: " + cert.getSubjectDN().getName()
+ "\n subjectAltNames: " + OkHostnameVerifier.allSubjectAltNames(cert));
}
// Check that the certificate pinner is satisfied by the certificates presented.
address.certificatePinner().check(address.url().host(),
unverifiedHandshake.peerCertificates());
//后面省略

根本的逻辑就是这样的,主要关心的地方也是在初次握手建立连接和本地校验的那,正常情况下,我们在调用https地址的时候会先连接,就是调到上面代码的位置,之后执行初次握手,回调验证服务端是否可信,然后在进行正常的网络请求。如果在这个过程中出现异常,就会报一个证书信任的问题,出现这种情况有两方面,一是客户端验证服务端,二是服务端验证客户端。相关的可以去看鸿洋大婶的文章
http://blog.csdn.net/lmj623565791/article/details/48129405

获取证书

主要介绍一下hostnameVerifier的两个参数,一个是hostname就是你请求地址的host,session则包括了从服务端返回的证书链。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
@Override
public boolean verify(String hostname, SSLSession session) {
Certificate[] localCertificates = new Certificate[0];
try {
//获取证书链中的所有证书
localCertificates = session.getPeerCertificates();
} catch (SSLPeerUnverifiedException e) {
e.printStackTrace();
}
//打印所有证书内容
for (Certificate c : localCertificates) {
Log.d(TAG, "verify: "+c.toString());
}
try {
//将证书链中的第一个写到文件
createFileWithByte(localCertificates[0].getEncoded());
} catch (CertificateEncodingException e) {
e.printStackTrace();
}
return true;
}
//写到文件
private void createFileWithByte(byte[] bytes) {
// TODO Auto-generated method stub
/**
* 创建File对象,其中包含文件所在的目录以及文件的命名
*/
File file = new File(Environment.getExternalStorageDirectory(),
"ca.cer");
// 创建FileOutputStream对象
FileOutputStream outputStream = null;
// 创建BufferedOutputStream对象
BufferedOutputStream bufferedOutputStream = null;
try {
// 如果文件存在则删除
if (file.exists()) {
file.delete();
}
// 在文件系统中根据路径创建一个新的空文件
file.createNewFile();
// 获取FileOutputStream对象
outputStream = new FileOutputStream(file);
// 获取BufferedOutputStream对象
bufferedOutputStream = new BufferedOutputStream(outputStream);
// 往文件所在的缓冲输出流中写byte数据
bufferedOutputStream.write(bytes);
// 刷出缓冲输出流,该步很关键,要是不执行flush()方法,那么文件的内容是空的。
bufferedOutputStream.flush();
} catch (Exception e) {
// 打印异常信息
e.printStackTrace();
} finally {
// 关闭创建的流对象
if (outputStream != null) {
try {
outputStream.close();
} catch (IOException e) {
e.printStackTrace();
}
}
if (bufferedOutputStream != null) {
try {
bufferedOutputStream.close();
} catch (Exception e2) {
e2.printStackTrace();
}
}
}
}

可以简单些一个demo,然后加上以上的代码,就可以看到相关日志,证书链通常有三个,第一个才是我们自己的,然后也能在本地看到证书文件。包含一些相关信息,包括公钥,颁发机构等,最为严苛的方式就是可以从本地读取一个证书,取公钥与服务器返回的证书公钥进行对比。

webview加载https的h5

还遇到一个情况就是使用webview加载H5界面的时候可能出现空白页的情况,解决方式就是在webviewclient重载一个方法就可以,代码:

1
2
3
4
5
@Override
public void onReceivedSslError(WebView view, SslErrorHandler handler, SslError error) {
handler.proceed();
view.getSettings().setJavaScriptEnabled(true);
}

handler.proceed方法是接受所有的证书,大概意思是,具体的可以去百度相关文章就可以突然想到记录一下

总结

相对于https,使用okhttp进行请求的时候主要就是两个方法sslSocketfactory,hostnameverifer,加上一个HttpsUtils,一个证书就可以搞定了,使用不难,而且更改也挺方便的,更多的收获是在调试过程中对于okhttp整体请求流程的了解和熟悉,,https机制等相关知识。并且运用学到的东西成功帮助同事解决问题,学以致用,虽然没什么特别高深的知识,不过也在进步。