Android-网络优化，使用-HTTPDNS-优化-DNS，从原理到-OkHttp-集成

2401_84538612

于 2024-04-29 07:24:33 发布

阅读量686

点赞数 22

分类专栏：程序员文章标签： android 网络 okhttp

本文链接：https://blog.csdn.net/2401_84538612/article/details/138299643

版权

程序员专栏收录该内容

212 篇文章 0 订阅

订阅专栏

探讨了在OkHttp中使用拦截器和标准API实现HTTPDNS的方法，涉及HTTPS证书问题和SNI解决方案。

摘要由CSDN通过智能技术生成

InetAddress ip2= InetAddress.getByName(“www.cxmydev.com”);
System.out.println(ip2.getHostAddress());
System.out.println(ip2.getHostName());

而想在 OkHttp 中使用 HTTPDNS，有两种方式。

1. 通过拦截器，在发送请求之前，将域名替换为 IP 地址。
2. 通过 OkHttp 提供的 .dns() 接口，配置 HTTPDNS。

对这两种方法来说，当然是推荐使用标准 API 来实现了。拦截器的方式，也建议有所了解，实现很简单，但是有坑。

3.1 拦截器接入方式

1. 拦截器接入

拦截器是 OkHttp 中，非常强大的一种机制，它可以在请求和响应之间，做一些我们的定制操作。

在 OkHttp 中，可以通过实现 Interceptor 接口，来定制一个拦截器。使用时，只需要在 OkHttpClient.Builder 中，调用 addInterceptor() 方法来注册此拦截器即可。

OkHttp 的拦截器不是本文的重点，我们还是回到拦截器去实现 HTTPDNS 的话题上，拦截器没什么好说的，直接上相关代码。

class HTTPDNSInterceptor : Interceptor{
override fun intercept(chain: Interceptor.Chain): Response {
val originRequest = chain.request()
val httpUrl = originRequest.url()

val url = httpUrl.toString()
val host = httpUrl.host()

val hostIP = HttpDNS.getIpByHost(host)
val builder = originRequest.newBuilder()

if(hostIP!=null){
builder.url(HttpDNS.getIpUrl(url,host,hostIP))
builder.header(“host”,hostIP)
}
val newRequest = builder.build()
val newResponse = chain.proceed(newRequest)
return newResponse
}
}

在拦截器中，使用 HttpDNS 这个帮助类，通过 getIpByHost() 将 Host 转为对应的 IP。

如果通过抓包工具抓包，你会发现，原本的类似 http://www.cxmydev.com/api/user 的请求，被替换为：http://220.181.57.xxx/api/user。

2. 拦截器接入的坏处

使用拦截器，直接绕过了 DNS 的步骤，在请求发送前，将 Host 替换为对应的 IP 地址。

这种方案，在流程上很清晰，没有任何技术性的问题。但是这种方案存在一些问题，例如：HTTPS 下 IP 直连的证书问题、代理的问题、Cookie 的问题等等。

其中最严重的问题是，此方案（拦截器+HTTPDNS）遇到 https 时，如果存在一台服务器支持多个域名，可能导致证书无法匹配的问题。

在说到这个问题之前，就要先了解一下 HTTPS 和 SNI。

HTTPS 是为了保证安全的，在发送 HTTPS 请求之前，首先要进行 SSL/TLS 握手，握手的大致流程如下：

客户端发起握手请求，携带随机数、支持算法列表等参数。
服务端根据请求，选择合适的算法，下发公钥证书和随机数。
客户端对服务端证书，进行校验，并发送随机数信息，该信息使用公钥加密。
服务端通过私钥获取随机数信息。
双方根据以上交互的信息，生成 Session Ticket，用作该连接后续数据传输的加密密钥。

在这个流程中，客户端需要验证服务器下发的证书。首先通过本地保存的根证书解开证书链，确认证书可信任，然后客户端还需要检查证书的 domain 域和扩展域，看看是否包含本次请求的 HOST。

在这一步就出现了问题，当使用拦截器时，请求的 URL 中，HOST 会被替换成 HTTPDNS 解析出来的 IP。当服务器存在多域名和证书的情况下，服务器在建立 SSL/TLS 握手时，无法区分到底应该返回那个证书，此时的策略可能返回默认证书或者不返回，这就有可能导致客户端在证书验证 domain 时，出现不匹配的情况，最终导致 SSL/TLS 握手失败。

这就引发出来 SNI 方案，SNI（Server Name Indication）是为了解决一个服务器使用多个域名和证书的 SSL/TLS 扩展。

SNI 的工作原理，在连接到服务器建立 SSL 连接之前，先发送要访问站点的域名（hostname），服务器根据这个域名返回正确的证书。现在，大部分操作系统和浏览器，都已经很好的支持 SNI 扩展。

3. 拦截器 + HTTPDNS 的解决方案

这个问题，其实也有解决方案，这里简单介绍一下。

针对 “domain 不匹配” 的问题，可以通过 hook 证书验证过程中的第二步，将 IP 直接替换成原来的域名，再执行证书验证。

而 HttpURLConnect，提供了一个 HostnameVerifier 接口，实现它即可完成替换。

public interface HostnameVerifier {
public boolean verify(String hostname, SSLSession session);
}

如果使用 OkHttp，可以参考 OkHostnameVerifier (source://src/main/java/okhttp3/internal/tls/OkHostnameVerifier.java) 的实现，进行替换。

本身 OkHttp 就不建议通过拦截器去做 HTTPDNS 的支持，所以这里就不展开讨论了，这里只提出解决的思路，有兴趣可以研究研究源码。

3.2 OKHttp 标准 API 接入

OkHttp 其实本身已经暴露了一个 Dns 接口，默认的实现是使用系统的 InetAddress 类，发送 UDP 请求进行 DNS 解析。

我们只需要实现 OkHttp 的 Dns 接口，即可获得 HTTPDNS 的支持。

在我们实现的 Dns 接口实现类中，解析 DNS 的方式，换成 HTTPDNS，将解析结果返回。

class HttpDns : Dns {
override fun lookup(hostname: String): List {
val ip = HttpDnsHelper.getIpByHost(hostname)
if (TextUtils.isEmpty(ip)) {
//返回自己解析的地址列表
return InetAddress.getAllByName(ip).toList()
} else {
// 解析失败，使用系统解析
return Dns.SYSTEM.lookup(hostname)
}
}
}

使用也非常的简单，在 OkHttp.build() 时，通过 dns() 方法配置。

mOkHttpClient = httpBuilder
.dns(HttpDns())
.build();

这样做的好处在于：

1. 还是用域名进行访问，只是底层 DNS 解析换成了 HTTPDNS，以确保解析的 IP 地址符合预期。
2. HTTPS 下的问题也得到解决，证书依然使用域名进行校验。

OkHttp 既然暴露出 dns 接口，我们就尽量使用它。