工作经验

OkHttp中https的使用

"https"

Posted by hbl on 2017-03-20

OkHttp中https的使用

最近项目升级使用Https进行网络通信,之前的其实也是https不过没有加相关的校验,正好之前我是负责网络通信加密相关的,就研究了一下具体okhttp中对于https是如何处理的。

简单初始化

一个简单的初始化动作,其中比较关键的就是hostnameVerifier和sslSocketFactory这两个方法

1
2
3
4
5
6
7
8
9
10
11
12
OkHttpClient okHttpClient = new OkHttpClient.Builder()
               .connectTimeout(20000L, TimeUnit.MILLISECONDS)
               .readTimeout(20000L, TimeUnit.MILLISECONDS)
               .addInterceptor(new LoggerInterceptor("TAG"))
               .hostnameVerifier(new HostnameVerifier() {
                   @Override
                   public boolean verify(String hostname, SSLSession session) {
                       return true;
                   }
               })
               .sslSocketFactory(sslParams.sSLSocketFactory,sslParams.trustManager)
               .build();

其中sslSocketFactory传入两个参数,一个是SSLSocketFactory,另一个是TrustManager,通常都是写一个HttpsUtils,里面持有这两个对象,读取本地的一个证书,进行相关初始化赋值动作。 hostnameVerifier则是对服务端返回的一些信息进行相关校验的地方, 用于客户端判断所连接的服务端是否可信,通常默认return true,或者简单校验hostname是否正确,默认不使用的话会调用okhttp的OkHostnameVerifier:

1
2
3
4
5
public boolean verify(String host, X509Certificate certificate) {
    return verifyAsIpAddress(host)
        ? verifyIpAddress(host, certificate)
        : verifyHostname(host, certificate);
  }

其中会校验IP地址和hostnanme两项,我能可以在这个接口中获取服务端的证书,来校验更多的内容。

调用逻辑

对于一个android开发来说,目前的网络请求框架大部分都是使用okhttp进行网络请求的,okhttputils,或者retrofit,所以了解okhttp是如何具体工作的对于我们平时开发有很大的帮助,推荐http://www.jianshu.com/nb/402595作者介绍了很多关于网络请求方法的源码分析,推荐阅读。接下来步入正题,当我们使用https进行网络请求的时候最终进行连接的类是RealConnection,关键代码: 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
private void connectTls(int readTimeout, int writeTimeout,
     ConnectionSpecSelector connectionSpecSelector) throws IOException {
   Address address = route.address();
   SSLSocketFactory sslSocketFactory = address.sslSocketFactory();
   boolean success = false;
   SSLSocket sslSocket = null;
   try {
     // Create the wrapper over the connected socket.
//创建Socket
     sslSocket = (SSLSocket) sslSocketFactory.createSocket(
         rawSocket, address.url().host(), address.url().port(), true /* autoClose */);
     // Configure the socket's ciphers, TLS versions, and extensions.
     ConnectionSpec connectionSpec = connectionSpecSelector.configureSecureSocket(sslSocket);
     if (connectionSpec.supportsTlsExtensions()) {
       Platform.get().configureTlsExtensions(
           sslSocket, address.url().host(), address.protocols());
     }
     // Force handshake. This can throw!
	//初次握手
     sslSocket.startHandshake();
     Handshake unverifiedHandshake = Handshake.get(sslSocket.getSession());
     // Verify that the socket's certificates are acceptable for the target host.
//校验,回调hostnameVerifier.verify方法
     if (!address.hostnameVerifier().verify(address.url().host(), sslSocket.getSession())) {
       X509Certificate cert = (X509Certificate) unverifiedHandshake.peerCertificates().get(0);
       throw new SSLPeerUnverifiedException("Hostname " + address.url().host() + " not verified:"
           + "\n    certificate: " + CertificatePinner.pin(cert)
           + "\n    DN: " + cert.getSubjectDN().getName()
           + "\n    subjectAltNames: " + OkHostnameVerifier.allSubjectAltNames(cert));
     }
     // Check that the certificate pinner is satisfied by the certificates presented.
     address.certificatePinner().check(address.url().host(),
         unverifiedHandshake.peerCertificates());
	//后面省略

根本的逻辑就是这样的,主要关心的地方也是在初次握手建立连接和本地校验的那,正常情况下,我们在调用https地址的时候会先连接,就是调到上面代码的位置,之后执行初次握手,回调验证服务端是否可信,然后在进行正常的网络请求。如果在这个过程中出现异常,就会报一个证书信任的问题,出现这种情况有两方面,一是客户端验证服务端,二是服务端验证客户端。相关的可以去看鸿洋大婶的文章
http://blog.csdn.net/lmj623565791/article/details/48129405

获取证书

主要介绍一下hostnameVerifier的两个参数,一个是hostname就是你请求地址的host,session则包括了从服务端返回的证书链。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
			@Override
                   public boolean verify(String hostname, SSLSession session) {
                       Certificate[] localCertificates = new Certificate[0];
                       try {
						//获取证书链中的所有证书
                           localCertificates = session.getPeerCertificates();
                       } catch (SSLPeerUnverifiedException e) {
                           e.printStackTrace();
                       }
						//打印所有证书内容
                       for (Certificate c : localCertificates) {
                           Log.d(TAG, "verify: "+c.toString());
                       }
                       try {
						//将证书链中的第一个写到文件
                           createFileWithByte(localCertificates[0].getEncoded());
                       } catch (CertificateEncodingException e) {
                           e.printStackTrace();
                       }
                       return true;
                   }
//写到文件
private void createFileWithByte(byte[] bytes) {
       // TODO Auto-generated method stub
       /**
        * 创建File对象,其中包含文件所在的目录以及文件的命名
        */
       File file = new File(Environment.getExternalStorageDirectory(),
               "ca.cer");
       // 创建FileOutputStream对象
       FileOutputStream outputStream = null;
       // 创建BufferedOutputStream对象
       BufferedOutputStream bufferedOutputStream = null;
       try {
           // 如果文件存在则删除
           if (file.exists()) {
               file.delete();
           }
           // 在文件系统中根据路径创建一个新的空文件
           file.createNewFile();
           // 获取FileOutputStream对象
           outputStream = new FileOutputStream(file);
           // 获取BufferedOutputStream对象
           bufferedOutputStream = new BufferedOutputStream(outputStream);
           // 往文件所在的缓冲输出流中写byte数据
           bufferedOutputStream.write(bytes);
           // 刷出缓冲输出流,该步很关键,要是不执行flush()方法,那么文件的内容是空的。
           bufferedOutputStream.flush();
       } catch (Exception e) {
           // 打印异常信息
           e.printStackTrace();
       } finally {
           // 关闭创建的流对象
           if (outputStream != null) {
               try {
                   outputStream.close();
               } catch (IOException e) {
                   e.printStackTrace();
               }
           }
           if (bufferedOutputStream != null) {
               try {
                   bufferedOutputStream.close();
               } catch (Exception e2) {
                   e2.printStackTrace();
               }
           }
       }
   }

可以简单些一个demo,然后加上以上的代码,就可以看到相关日志,证书链通常有三个,第一个才是我们自己的,然后也能在本地看到证书文件。包含一些相关信息,包括公钥,颁发机构等,最为严苛的方式就是可以从本地读取一个证书,取公钥与服务器返回的证书公钥进行对比。

webview加载https的h5

还遇到一个情况就是使用webview加载H5界面的时候可能出现空白页的情况,解决方式就是在webviewclient重载一个方法就可以,代码:

1
2
3
4
5
@Override
         public void onReceivedSslError(WebView view, SslErrorHandler handler, SslError error) {
             handler.proceed();
             view.getSettings().setJavaScriptEnabled(true);
         }

handler.proceed方法是接受所有的证书,大概意思是,具体的可以去百度相关文章就可以突然想到记录一下

总结

相对于https,使用okhttp进行请求的时候主要就是两个方法sslSocketfactory,hostnameverifer,加上一个HttpsUtils,一个证书就可以搞定了,使用不难,而且更改也挺方便的,更多的收获是在调试过程中对于okhttp整体请求流程的了解和熟悉,,https机制等相关知识。并且运用学到的东西成功帮助同事解决问题,学以致用,虽然没什么特别高深的知识,不过也在进步。

FEATURED TAGS
工作经验
FRIENDS