Android如何使用Https,這一篇文章是NoHttp系列中比較重要的,為大家介紹一下內容。 什麼是Https? HTTPS(全稱:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全為目標的HTTP通道,簡單講是HTTP的安全版 ...
Android如何使用Https,這一篇文章是NoHttp系列中比較重要的,為大家介紹一下內容。
什麼是Https?
HTTPS(全稱:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全為目標的HTTP通道,簡單講是HTTP的安全版。即HTTP下加入SSL層,HTTPS的安全基礎是SSL,因此加密的詳細內容就需要SSL。它是一個URI Scheme(抽象標識符體系),句法類同Http:體系。用於安全的HTTP數據傳輸。Https:URL表明它使用了HTTP,但HTTPS存在不同於HTTP的預設埠及一個加密/身份驗證層(在HTTP與TCP之間)。這個系統的最初研發由網景公司(NetScape)進行,並內置於其瀏覽器Netscape Navigator中,提供了身份驗證與加密通訊方法。現在它被廣泛用於萬維網上安全敏感的通訊,例如金融、網購等涉及支付的領域。
這次不裝逼,我們來個深入淺出,先說最原始的Https,再說框架怎麼框架怎麼一句話使用Https
Android用原始Java代碼怎麼用Https
先普及一下Android怎麼用最原始java代碼請求網路,大神請掠過。
Android用Java開發,Java自帶的http API有HttpURLConnection,Android系統又加上了Apache Httpclient,加上後來HttpClient在SDK中被Google刪除,所以我們也不推薦使用HttpClient來做網路請求了,所以在這裡呢也只給列出HttpURLConnection的方式。
第一步:打開某個地址的連接
這裡咱打開我的博客地址,用GET方法請求
<code><code><code>URL url = new URL("https://blog.csdn.net/yanzhenjie1003");
HttpURLConnection urlConnection = (HttpURLConnection) url.openConnection();
urlConnection.setRequestMethod("GET");</code></code></code>
第二步:判斷是Https請求,設置SSLSocketFactory
如果是Https請求,那麼做安全校驗等操作,這裡設置SSLSokcetFactory,這裡有兩種方法,一種是包涵Https證書的,一種是沒有證書直接允許Https請求的,而證書不證書就是從SSLContext中來的:
<code><code><code><code><code>// 設置SSLSocketFoactory,這裡有兩種:1.需要安全證書 2.不需要安全證書;看官且往下看
if (urlConnection instanceof HttpsURLConnection) { // 是Https請求
SSLContext sslContext = SSLContextUtil.getSSLContext();
if (sslContext != null) {
SSLSocketFactory sslSocketFactory = sslContext.getSocketFactory();
((HttpsURLConnection) urlConnection).setSSLSocketFactory(sslSocketFactory);
}
}</code></code></code></code></code>
那麼SSLContext怎麼生成呢,哈哈先不急,咱們先把這個請求的流程走完,證書的載入往後邊看哦。
第三步:設置必要屬性
<code><code><code><code><code><code>// 設置屬性
urlConnection.setConnectTimeout(8 * 1000);
urlConnection.setReadTimeout(8 * 1000);</code></code></code></code></code></code>
第四步:讀取數據,發送到主線程,斷開連接
<code><code><code><code><code><code>int responseCode = urlConnection.getResponseCode();
if (responseCode == 200) { // 請求成功
InputStream inputStream = urlConnection.getInputStream();
// 讀取結果,發送到主線程
...
inputStream.close();
}
urlConnection.disconnect();</code></code></code></code></code></code>
完整代碼
<code><code><code><code><code><code>URL url = new URL("https://blog.csdn.net/yanzhenjie1003");
HttpURLConnection urlConnection = (HttpURLConnection) url.openConnection();
urlConnection.setRequestMethod("GET");
// 設置SSLSocketFoactory,這裡有兩種:1.需要安全證書 2.不需要安全證書;看官且往下看
if (urlConnection instanceof HttpsURLConnection) { // 是Https請求
SSLContext sslContext = SSLContextUtil.getSSLContext();
if (sslContext != null) {
SSLSocketFactory sslSocketFactory = sslContext.getSocketFactory();
((HttpsURLConnection) urlConnection).setSSLSocketFactory(sslSocketFactory);
}
}
// 設置屬性
urlConnection.setConnectTimeout(8 * 1000);
urlConnection.setReadTimeout(8 * 1000);
int responseCode = urlConnection.getResponseCode();
if (responseCode == 200) { // 請求成功
InputStream inputStream = urlConnection.getInputStream();
// 讀取結果,發送到主線程
...
inputStream.close();
}
urlConnection.disconnect();</code></code></code></code></code></code>
這樣就完成整個請求,其實Android請求網路就這麼點代碼,然後我們再寫完善一點,然後封裝寫參數,容錯什麼的,就是一個小框架啦。是不是很簡單呢?
使用流行框架NoHttp怎麼玩Https
用NoHttp不要太簡單,什麼傳參數、傳文件、下載之類的,基本都是一兩句話就搞定。
<code><code><code><code><code><code>Request<string> request = NoHttp.createStringRequest(url, RequestMethod.POST);
// 註意這裡設置SSLSokcetFactory的代碼是相同的
SSLContext sslContext = SSLContextUtil.getSSLContext();
if (sslContext != null) {
SSLSocketFactory socketFactory = sslContext.getSocketFactory();
httpsRequest.setSSLSocketFactory(socketFactory);
requestQueue.add(0, request, httpListener);// 添加到請求隊列,等待接受結果
}
</string></code></code></code></code></code></code>
我們註意到上面設置Socket的代碼是相同的,剩下的就是一句話new一個請求對象就完事。是不是比原生的還要簡單啊?
這個框架叫NoHttp,是一個Android開源網路框架。
SSLSocketFactory對象怎麼來
上面不論是純Android代碼還是NoHttp框架都用到了SSLContext,這家伙呢就是負責證書管理和信任管理器的,我們說Https可以有證書也可以沒有證書,我們來看這兩種情況。
有安全證書的SSLContext
我們把Https的證書放在assets目錄下,然後通過流載入:
<code><code><code><code><code><code><code>public static SSLContext getSSLContext() {
// 生成SSLContext對象
SSLContext sslContext = SSLContext.getInstance("TLS");
// 從assets中載入證書
InputStream inStream = Application.getInstance().getAssets().open("srca.cer");
// 證書工廠
CertificateFactory cerFactory = CertificateFactory.getInstance("X.509");
Certificate cer = cerFactory.generateCertificate(inStream);
// 密鑰庫
KeyStore kStore = KeyStore.getInstance("PKCS12");
kStore.load(null, null);
kStore.setCertificateEntry("trust", cer);// 載入證書到密鑰庫中
// 密鑰管理器
KeyManagerFactory keyFactory = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
keyFactory.init(kStore, null);// 載入密鑰庫到管理器
// 信任管理器
TrustManagerFactory tFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
tFactory.init(kStore);// 載入密鑰庫到信任管理器
// 初始化
sslContext.init(keyFactory.getKeyManagers(), tFactory.getTrustManagers(), new SecureRandom());
return sslContext;
}</code></code></code></code></code></code></code>
需要強調的是,最後一句中的new SecureRandom()在Android4.4之前的系統中有Bug。
修複Android系統中SecureRandom的Bug
Android 4.4之前版本的Java加密架構(JCA)中使用的Apache Harmony 6.0M3及其之前版本的SecureRandom實現存在安全漏洞,具體位於classlib/modules/security/src/main/java/common/org/apache/harmony/security/provider/crypto/SHA1PRNG_SecureRandomImpl.java文件的engineNextBytes()方法里。當用戶沒有提供用於產生隨機數的種子時,程式不能正確調整偏移量,導致偽隨機數生成器(PRNG)生成隨機序列的過程可被預測。
But值得高興的NoHttp內部已經fix了這一bug,如果大家要自己寫框架,恐怕要寫很多代碼去修複這個問題啦,所以推薦各位看官還是使用NoHttp。
沒有安全證書的SSLContext
上面看到需要需要安全證書的生成SSLContext就可以了,然後不需要證書的請求,需要兩個對象,一個是SSLContext(上面已經解釋過了);另一個是HostnameVerifier,顧名思義就是主機名稱匹配的意思,我們看代碼。
<code><code><code><code><code><code><code><code><code><code><code><code>public static SSLContext getSLLContext() {
SSLContext sslContext = null;
try {
sslContext = SSLContext.getInstance("TLS");
sslContext.init(null, new TrustManager[]{new X509TrustManager() {
@Override
public void checkClientTrusted(X509Certificate[] chain, String authType) {}
@Override
public void checkServerTrusted(X509Certificate[] chain, String authType) {}
@Override
public X509Certificate[] getAcceptedIssuers() {
return new X509Certificate[0];
}
}}, new SecureRandom());
} catch (Exception e) {
e.printStackTrace();
}
return sslContext;
}</code></code></code></code></code></code></code></code></code></code></code></code>
就這麼簡單,只需要傳一個null證書管理器喝一個預設的信任管理器即可。
下麵再來看HostnameVerifier,既然是主機名稱校驗,那我們直接通過:
<code><code><code><code><code><code><code><code><code><code><code><code><code>private static HostnameVerifier hostnameVerifier = new HostnameVerifier() {
@Override
public boolean verify(String hostname, SSLSession session) {
return true;
}
};</code></code></code></code></code></code></code></code></code></code></code></code></code>
這個怎麼用呢?Android原生代碼用法中,獲取SSLContext的方法名不一樣,多了setHostnameVerifier,其它跟有安全證書的使用一致:
<code><code><code><code><code><code><code><code><code><code><code><code><code><code><code>URL url = new URL("https://blog.csdn.net/yanzhenjie1003");
HttpURLConnection urlConnection = (HttpURLConnection) url.openConnection();
urlConnection.setRequestMethod("GET");
// 設置SSLSocketFoactory,這裡有兩種:1.需要安全證書 2.不需要安全證書;看官且往下看
if (urlConnection instanceof HttpsURLConnection) { // 是Https請求
SSLContext sslContext = SSLContextUtil.getSSLContext();
if (sslContext != null) {
SSLSocketFactory sslSocketFactory = sslContext.getSLLContextNoCertificate();
((HttpsURLConnection) urlConnection).setSSLSocketFactory(sslSocketFactory);
((HttpsURLConnection) urlConnection).setHostnameVerifier(SSLContextUtil.hostnameVerifier);
}
}
// 設置屬性
urlConnection.setConnectTimeout(8 * 1000);
urlConnection.setReadTimeout(8 * 1000);
int responseCode = urlConnection.getResponseCode();
if (responseCode == 200) { // 請求成功
InputStream inputStream = urlConnection.getInputStream();
// 讀取結果,發送到主線程
...
inputStream.close();
}
urlConnection.disconnect();</code></code></code></code></code></code></code></code></code></code></code></code></code></code></code>
NoHttp用法,代碼和上邊的NoHttp載入證書的一樣,多了一句setHostnameVerifier的:
<code><code><code><code><code><code><code><code><code><code><code><code><code><code><code><code>Request<string> request = NoHttp.createStringRequest(url, RequestMethod.POST);
SSLContext sslContext = SSLContextUtil.getSSLContext();
if (sslContext != null) {
SSLSocketFactory socketFactory = sslContext.getSLLContextNoCertificate();
httpsRequest.setSSLSocketFactory(socketFactory);
httpsRequest.setHostnameVerifier(SSLContextUtil.hostnameVerifier);
requestQueue.add(0, request, httpListener);// 添加到請求隊列,等待接受結果
}</string></code></code></code></code></code></code></code></code></code></code></code></code></code></code></code></code>
如果大家通讀了全文,我相信已經會使用Android的Https了吧?
技術來源:www.shuangyulin.com
