二、Https相关知识
关于特别理论的东西大家可以百度下自己去了解下,这里就简单说一下,HTTPS相当于HTTP的安全版本了,为什么安全呢?
因为它在HTTP的之下加入了SSL (Secure Socket Layer),安全的基础就靠这个SSL了。SSL位于TCP/IP和HTTP协议之间,那么它到底能干嘛呢?
它能够:
-
认证用户和服务器,确保数据发送到正确的客户机和服务器;(验证证书)
-
加密数据以防止数据中途被窃取;(加密)
-
维护数据的完整性,确保数据在传输过程中不被改变。(摘要算法)
以上3条来自百度
下面我们简单描述下HTTPS的工作原理,大家就能对应的看到上面3条作用的身影了:
HTTPS在传输数据之前需要客户端(浏览器)与服务端(网站)之间进行一次握手,在握手过程中将确立双方加密传输数据的密码信息。握手过程的简单描述如下:
-
浏览器将自己支持的一套加密算法、HASH算法发送给网站。
-
网站从中选出一组加密算法与HASH算法,并将自己的身份信息以证书的形式发回给浏览器。证书里面包含了网站地址,加密公钥,以及证书的颁发机构等信息。
-
浏览器获得网站证书之后,开始验证证书的合法性,如果证书信任,则生成一串随机数字作为通讯过程中对称加密的秘钥。然后取出证书中的公钥,将这串数字以及HASH的结果进行加密,然后发给网站。
-
网站接收浏览器发来的数据之后,通过私钥进行解密,然后HASH校验,如果一致,则使用浏览器发来的数字串使加密一段握手消息发给浏览器。
-
浏览器解密,并HASH校验,没有问题,则握手结束。接下来的传输过程将由之前浏览器生成的随机密码并利用对称加密算法进行加密。
握手过程中如果有任何错误,都会使加密连接断开,从而阻止了隐私信息的传输。
ok,以上的流程不一定完全正确,基本就是这样,当然如果有明显错误欢迎指出。
根据上面的流程,我们可以看到服务器端会有一个证书,在交互过程中客户端需要去验证证书的合法性,对于权威机构颁发的证书当然我们会直接认为合法。对于自己造的证书,那么我们就需要去校验合法性了,也就是说我们只需要让OkhttpClient去信任这个证书就可以畅通的进行通信了。
当然,对于自签名的网站的访问,网上的部分的做法是直接设置信任所有的证书,对于这种做法肯定是有风险的,所以这里我们不去介绍了,有需要自己去查。
下面我们去考虑,如何让OkHttpClient去信任我们的证书,接下里的例子就是靠12306这个福利站点了。
首先导出12306的证书,这里12306提供了下载地址:12306证书点击下载
下载完成,解压拿到里面的srca.cer
,一会需要使用。ps:即使没有提供下载,也可以通过浏览器导出的,自行百度。
三、代码
(一)、访问自签名的网站
首先把我们下载的srca.cer
放到assets文件夹下,其实你可以随便放哪,反正能读取到就行。
然后在我们的OkHttpClientManager
里面添加如下的方法:
public void setCertificates(InputStream… certificates)
{
try
{
CertificateFactory certificateFactory = CertificateFactory.getInstance(“X.509”);
KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
keyStore.load(null);
int index = 0;
for (InputStream certificate : certificates)
{
String certificateAlias = Integer.toString(index++);
keyStore.setCertificateEntry(certificateAlias, certificateFactory.generateCertificate(certificate));
try
{
if (certificate != null)
certificate.close();
} catch (IOException e)
{
}
}
SSLContext sslContext = SSLContext.getInstance(“TLS”);
TrustManagerFactory trustManagerFactory =
TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
trustManagerFactory.init(keyStore);
sslContext.init
(
null,
trustManagerFactory.getTrustManagers(),
new SecureRandom()
);
mOkHttpClient.setSslSocketFactory(sslContext.getSocketFactory());
} catch (Exception e)
{
e.printStackTrace();
}
}
为了代码可读性,我把异常捕获的部分简化了,可以看到我们提供了一个方法传入InputStream流,InputStream就对应于我们证书的输入流。
代码内部,我们:
-
构造CertificateFactory对象,通过它的
generateCertificate(is)
方法得到Certificate。 -
然后讲得到的
Certificate
放入到keyStore中。 -
接下来利用keyStore去初始化我们的
TrustManagerFactory
-
由
trustManagerFactory.getTrustManagers
获得TrustManager[]
初始化我们的SSLContext
-
最后,设置我们mOkHttpClient.setSslSocketFactory即可。
这样就完成了我们代码的编写,其实挺短的,当客户端进行SSL连接时,就可以根据我们设置的证书去决定是否新人服务端的证书。
记得在Application中进行初始化:
public class MyApplication extends Application
{
@Override
public void onCreate()
{
super.onCreate();
try
{
OkHttpClientManager.getInstance()
.setCertificates(getAssets().open(“srca.cer”));
} catch (IOException e)
{
e.printStackTrace();
}
}
然后尝试以下代码访问12306的网站:
OkHttpClientManager.getAsyn(“https://kyfw.12306.cn/otn/”, new OkHttpClientManager.ResultCallback()
{
@Override
public void onError(Request request, Exception e)
{
e.printStackTrace();
}
@Override
public void onResponse(String u)
{
mTv.setText(u);
}
});
这样即可访问成功。完整代码已经更新至:https://github.com/hongyangAndroid/okhttp-utils,可以下载里面的sample进行测试,里面包含12306的证书。
ok,到这就可以看到使用Okhttp可以很方便的应对自签名的网站的访问,只需要拿到包含公钥的证书即可。
(二)、使用字符串替代证书
下面继续,有些人可能觉得把证书copy到assets下还是觉得不舒服,其实我们还可以将证书中的内容提取出来,写成字符串常量,这样就不需要证书根据着app去打包了。
zhydeMacBook-Pro:temp zhy$ keytool -printcert -rfc -file srca.cer
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
使用keytool
命令,以rfc样式输出。keytool
命令是JDK里面自带的。
有了这个字符串以后,我们就不需要srca.cer这个文件了,直接编写以下代码:
public class MyApplication extends Application
{
private String CER_12306 = “-----BEGIN CERTIFICATE-----\n” +
“MIICmjCCAgOgAwIBAgIIbyZr5/jKH6QwDQYJKoZIhvcNAQEFBQAwRzELMAkGA1UEBhMCQ04xKTAn\n” +
“BgNVBAoTIFNpbm9yYWlsIENlcnRpZmljYXRpb24gQXV0aG9yaXR5MQ0wCwYDVQQDEwRTUkNBMB4X\n” +
“DTA5MDUyNTA2NTYwMFoXDTI5MDUyMDA2NTYwMFowRzELMAkGA1UEBhMCQ04xKTAnBgNVBAoTIFNp\n” +
“bm9yYWlsIENlcnRpZmljYXRpb24gQXV0aG9yaXR5MQ0wCwYDVQQDEwRTUkNBMIGfMA0GCSqGSIb3\n” +
“DQEBAQUAA4GNADCBiQKBgQDMpbNeb34p0GvLkZ6t72/OOba4mX2K/eZRWFfnuk8e5jKDH+9BgCb2\n” +
“9bSotqPqTbxXWPxIOz8EjyUO3bfR5pQ8ovNTOlks2rS5BdMhoi4sUjCKi5ELiqtyww/XgY5iFqv6\n” +
“D4Pw9QvOUcdRVSbPWo1DwMmH75It6pk/rARIFHEjWwIDAQABo4GOMIGLMB8GA1UdIwQYMBaAFHle\n” +
“tne34lKDQ+3HUYhMY4UsAENYMAwGA1UdEwQFMAMBAf8wLgYDVR0fBCcwJTAjoCGgH4YdaHR0cDov\n” +
“LzE5Mi4xNjguOS4xNDkvY3JsMS5jcmwwCwYDVR0PBAQDAgH+MB0GA1UdDgQWBBR5XrZ3t+JSg0Pt\n” +
“x1GITGOFLABDWDANBgkqhkiG9w0BAQUFAAOBgQDGrAm2U/of1LbOnG2bnnQtgcVaBXiVJF8LKPaV\n” +
“23XQ96HU8xfgSZMJS6U00WHAI7zp0q208RSUft9wDq9ee///VOhzR6Tebg9QfyPSohkBrhXQenvQ\n” +
“og555S+C3eJAAVeNCTeMS3N/M5hzBRJAoffn3qoYdAO1Q8bTguOi+2849A==\n” +
“-----END CERTIFICATE-----”;
@Override
public void onCreate()
{
super.onCreate();
OkHttpClientManager.getInstance()
.setCertificates(new Buffer()
.writeUtf8(CER_12306)
.inputStream());
}
注意Buffer是okio包下的,okhttp依赖okio。
ok,这样就省去将cer文件一起打包进入apk了。
接下来介绍,如何去生成证书以及在tomcat服务器下使用自签名证书部署服务。如果大家没这方面需要可以简单了解下。
四、tomcat下使用自签名证书部署服务
首先自行下载个tomcat的压缩包。
既然我们要支持https,那么肯定需要个证书,如何生成证书呢?使用keytool非常简单。
(一)生成证书
zhydeMacBook-Pro:temp zhy$ keytool -genkey -alias zhy_server -keyalg RSA -keystore zhy_server.jks -validity 3600 -storepass 123456
您的名字与姓氏是什么?
您的组织单位名称是什么?
您的组织名称是什么?
您所在的城市或区域名称是什么?
您所在的省/市/自治区名称是什么?
该单位的双字母国家/地区代码是什么?
CN=zhang, OU=zhang, O=zhang, L=xian, ST=shanxi, C=cn是否正确?
输入 <zhy_server> 的密钥口令
(如果和密钥库口令相同, 按回车):
使用以上命令即可生成一个证书请求文件zhy_server.jks
,注意密钥库口令为:123456
.
接下来利用zhy_server.jks
来签发证书:
zhydeMacBook-Pro:temp zhy$ keytool -export -alias zhy_server
-file zhy_server.cer
-keystore zhy_server.jks
-storepass 123456
即可生成包含公钥的证书zhy_server.cer
。
(二)、配置Tomcat
找到tomcat/conf/sever.xml
文件,并以文本形式打开。
在Service标签中,加入:
<Connector SSLEnabled=“true” acceptCount=“100” clientAuth=“false”
disableUploadTimeout=“true” enableLookups=“true” keystoreFile=“” keystorePass=“123456” maxSpareThreads=“75”
maxThreads=“200” minSpareThreads=“5” port=“8443”
protocol=“org.apache.coyote.http11.Http11NioProtocol” scheme=“https”
secure=“true” sslProtocol=“TLS”
/>
注意keystoreFile的值为我们刚才生成的jks文件的路径:/Users/zhy/ temp/zhy_server.jks
(填写你的路径).keystorePass值为密钥库密码:123456
。
然后启动即可,对于命令行启动,依赖环境变量JAVA_HOME;如果在MyEclispe等IDE下启动就比较随意了。
启动成功以后,打开浏览器输入url:https://localhost:8443/
即可看到证书不可信任的警告了。选择打死也要进入,即可进入tomcat默认的主页:
如果你在此tomcat中部署了项目,即可按照如下url方式访问:
https://192.168.1.103:8443/项目名/path
,没有部署也没关系,直接拿默认的主页进行测试了,拿它的html字符串。
对于访问,还需要说么,我们刚才已经生成了zhy_server.cer
证书。你可以选择copy到assets,或者通过命令拿到内部包含的字符串。我们这里选择copy。
依然选择在Application中设置信任证书:
public class MyApplication extends Application
{
private String CER_12306 = “省略…”;
@Override
public void onCreate()
{
super.onCreate();
try
{
OkHttpClientManager.getInstance()
.setCertificates(
new Buffer()
.writeUtf8(CER_12306).inputStream(),
getAssets().open(“zhy_server.cer”)
);
} catch (IOException e)
{
e.printStackTrace();
}
}
}
ok,这样就能正常访问你部署的https项目中的服务了,没有部署项目的尝试拿https://服务端ip:8443/
测试即可。
注意:不要使用localhost,真机测试保证手机和服务器在同一局域网段内。
ok,到此我们介绍完了如果搭建https服务和如何访问,基本上可以应付极大部分的需求了。当然还是极少数的应用需要双向证书验证,比如银行、金融类app,我们一起来了解下。
五、双向证书验证
首先对于双向证书验证,也就是说,客户端也会有个“kjs文件”,服务器那边会同时有个“cer文件”与之对应。
我们已经生成了zhy_server.kjs
和zhy_server.cer
文件。
接下来按照生成证书的方式,再生成一对这样的文件,我们命名为:zhy_client.kjs
,zhy_client.cer
.
(一)配置服务端
首先我们配置服务端:
服务端的配置比较简单,依然是刚才的Connector标签,不过需要添加些属性。
<Connector 其他属性与前面一致
clientAuth=“true”
truststoreFile=“/Users/zhy/temp/zhy_client.cer”
/>
将clientAuth
设置为true,并且多添加一个属性truststoreFile,理论上值为我们的cer文件。这么加入以后,尝试启动服务器,会发生错误:Invalid keystore format
。说keystore的格式不合法。
我们需要对zhy_client.cer执行以下步骤,将证书添加到kjs文件中。
keytool -import -alias zhy_client
-file zhy_client.cer -keystore zhy_client_for_sever.jks
接下里修改server.xml为:
<Connector 其他属性与前面一致
clientAuth=“true”
truststoreFile=“/Users/zhy/temp/zhy_client_for_sever.jks”
/>
此时启动即可。
此时再拿浏览器已经无法访问到我们的服务了,会显示基于证书的身份验证失败
。
我们将目标来到客户端,即我们的Android端,我们的Android端,如何设置kjs文件呢。
(二)配置app端
目前我们app端依靠的应该是zhy_client.kjs
。
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数初中级Android工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年Android移动开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点,真正体系化!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
如果你觉得这些内容对你有帮助,可以扫码获取!!(备注:Android)
学习福利
【Android 详细知识点思维脑图(技能树)】
其实Android开发的知识点就那么多,面试问来问去还是那么点东西。所以面试没有其他的诀窍,只看你对这些知识点准备的充分程度。so,出去面试时先看看自己复习到了哪个阶段就好。
虽然 Android 没有前几年火热了,已经过去了会四大组件就能找到高薪职位的时代了。这只能说明 Android 中级以下的岗位饱和了,现在高级工程师还是比较缺少的,很多高级职位给的薪资真的特别高(钱多也不一定能找到合适的),所以努力让自己成为高级工程师才是最重要的。
这里附上上述的面试题相关的几十套字节跳动,京东,小米,腾讯、头条、阿里、美团等公司19年的面试题。把技术点整理成了视频和PDF(实际上比预期多花了不少精力),包含知识脉络 + 诸多细节。
由于篇幅有限,这里以图片的形式给大家展示一小部分。
网上学习 Android的资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。希望这份系统化的技术体系对大家有一个方向参考。
《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!
些内容对你有帮助,可以扫码获取!!(备注:Android)**
[外链图片转存中…(img-IMqH1L27-1713716100795)]
学习福利
【Android 详细知识点思维脑图(技能树)】
[外链图片转存中…(img-FWQ2S4le-1713716100797)]
其实Android开发的知识点就那么多,面试问来问去还是那么点东西。所以面试没有其他的诀窍,只看你对这些知识点准备的充分程度。so,出去面试时先看看自己复习到了哪个阶段就好。
虽然 Android 没有前几年火热了,已经过去了会四大组件就能找到高薪职位的时代了。这只能说明 Android 中级以下的岗位饱和了,现在高级工程师还是比较缺少的,很多高级职位给的薪资真的特别高(钱多也不一定能找到合适的),所以努力让自己成为高级工程师才是最重要的。
这里附上上述的面试题相关的几十套字节跳动,京东,小米,腾讯、头条、阿里、美团等公司19年的面试题。把技术点整理成了视频和PDF(实际上比预期多花了不少精力),包含知识脉络 + 诸多细节。
由于篇幅有限,这里以图片的形式给大家展示一小部分。
[外链图片转存中…(img-nri5fkgZ-1713716100798)]
网上学习 Android的资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。希望这份系统化的技术体系对大家有一个方向参考。
《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!