InetAddress ip2= InetAddress.getByName(“www.cxmydev.com”);
System.out.println(ip2.getHostAddress());
System.out.println(ip2.getHostName());
而想在 OkHttp 中使用 HTTPDNS,有两种方式。
1. 通过拦截器,在发送请求之前,将域名替换为 IP 地址。
2. 通过 OkHttp 提供的 .dns()
接口,配置 HTTPDNS。
对这两种方法来说,当然是推荐使用标准 API 来实现了。拦截器的方式,也建议有所了解,实现很简单,但是有坑。
3.1 拦截器接入方式
1. 拦截器接入
拦截器是 OkHttp 中,非常强大的一种机制,它可以在请求和响应之间,做一些我们的定制操作。
在 OkHttp 中,可以通过实现 Interceptor 接口,来定制一个拦截器。使用时,只需要在 OkHttpClient.Builder 中,调用 addInterceptor()
方法来注册此拦截器即可。
OkHttp 的拦截器不是本文的重点,我们还是回到拦截器去实现 HTTPDNS 的话题上,拦截器没什么好说的,直接上相关代码。
class HTTPDNSInterceptor : Interceptor{
override fun intercept(chain: Interceptor.Chain): Response {
val originRequest = chain.request()
val httpUrl = originRequest.url()
val url = httpUrl.toString()
val host = httpUrl.host()
val hostIP = HttpDNS.getIpByHost(host)
val builder = originRequest.newBuilder()
if(hostIP!=null){
builder.url(HttpDNS.getIpUrl(url,host,hostIP))
builder.header(“host”,hostIP)
}
val newRequest = builder.build()
val newResponse = chain.proceed(newRequest)
return newResponse
}
}
在拦截器中,使用 HttpDNS 这个帮助类,通过 getIpByHost()
将 Host 转为对应的 IP。
如果通过抓包工具抓包,你会发现,原本的类似 http://www.cxmydev.com/api/user
的请求,被替换为:http://220.181.57.xxx/api/user
。
2. 拦截器接入的坏处
使用拦截器,直接绕过了 DNS 的步骤,在请求发送前,将 Host 替换为对应的 IP 地址。
这种方案,在流程上很清晰,没有任何技术性的问题。但是这种方案存在一些问题,例如:HTTPS 下 IP 直连的证书问题、代理的问题、Cookie 的问题等等。
其中最严重的问题是,此方案(拦截器+HTTPDNS)遇到 https 时,如果存在一台服务器支持多个域名,可能导致证书无法匹配的问题。
在说到这个问题之前,就要先了解一下 HTTPS 和 SNI。
HTTPS 是为了保证安全的,在发送 HTTPS 请求之前,首先要进行 SSL/TLS 握手,握手的大致流程如下:
- 客户端发起握手请求,携带随机数、支持算法列表等参数。
- 服务端根据请求,选择合适的算法,下发公钥证书和随机数。
- 客户端对服务端证书,进行校验,并发送随机数信息,该信息使用公钥加密。
- 服务端通过私钥获取随机数信息。
- 双方根据以上交互的信息,生成 Session Ticket,用作该连接后续数据传输的加密密钥。
在这个流程中,客户端需要验证服务器下发的证书。首先通过本地保存的根证书解开证书链,确认证书可信任,然后客户端还需要检查证书的 domain 域和扩展域,看看是否包含本次请求的 HOST。
在这一步就出现了问题,当使用拦截器时,请求的 URL 中,HOST 会被替换成 HTTPDNS 解析出来的 IP。当服务器存在多域名和证书的情况下,服务器在建立 SSL/TLS 握手时,无法区分到底应该返回那个证书,此时的策略可能返回默认证书或者不返回,这就有可能导致客户端在证书验证 domain 时,出现不匹配的情况,最终导致 SSL/TLS 握手失败。
这就引发出来 SNI 方案,SNI(Server Name Indication)是为了解决一个服务器使用多个域名和证书的 SSL/TLS 扩展。
SNI 的工作原理,在连接到服务器建立 SSL 连接之前,先发送要访问站点的域名(hostname),服务器根据这个域名返回正确的证书。现在,大部分操作系统和浏览器,都已经很好的支持 SNI 扩展。
3. 拦截器 + HTTPDNS 的解决方案
这个问题,其实也有解决方案,这里简单介绍一下。
针对 “domain 不匹配” 的问题,可以通过 hook 证书验证过程中的第二步,将 IP 直接替换成原来的域名,再执行证书验证。
而 HttpURLConnect,提供了一个 HostnameVerifier 接口,实现它即可完成替换。
public interface HostnameVerifier {
public boolean verify(String hostname, SSLSession session);
}
如果使用 OkHttp,可以参考 OkHostnameVerifier (source://src/main/java/okhttp3/internal/tls/OkHostnameVerifier.java) 的实现,进行替换。
本身 OkHttp 就不建议通过拦截器去做 HTTPDNS 的支持,所以这里就不展开讨论了,这里只提出解决的思路,有兴趣可以研究研究源码。
3.2 OKHttp 标准 API 接入
OkHttp 其实本身已经暴露了一个 Dns 接口,默认的实现是使用系统的 InetAddress 类,发送 UDP 请求进行 DNS 解析。
我们只需要实现 OkHttp 的 Dns 接口,即可获得 HTTPDNS 的支持。
在我们实现的 Dns 接口实现类中,解析 DNS 的方式,换成 HTTPDNS,将解析结果返回。
class HttpDns : Dns {
override fun lookup(hostname: String): List {
val ip = HttpDnsHelper.getIpByHost(hostname)
if (TextUtils.isEmpty(ip)) {
//返回自己解析的地址列表
return InetAddress.getAllByName(ip).toList()
} else {
// 解析失败,使用系统解析
return Dns.SYSTEM.lookup(hostname)
}
}
}
使用也非常的简单,在 OkHttp.build()
时,通过 dns()
方法配置。
mOkHttpClient = httpBuilder
.dns(HttpDns())
.build();
这样做的好处在于:
1. 还是用域名进行访问,只是底层 DNS 解析换成了 HTTPDNS,以确保解析的 IP 地址符合预期。
2. HTTPS 下的问题也得到解决,证书依然使用域名进行校验。
OkHttp 既然暴露出 dns 接口,我们就尽量使用它。
四、小结时刻
现在大家知道,在做 App 的网络优化的时候,第一步就是使用 HTTPDNS 优化 DNS 的步骤。
所有的优化当然是以最终效果为目的,这里提两条大厂公开的数据,对腾讯的产品,在接入 HTTPDNS 后,用户平均延迟下降超过 10%,访问失败率下降超过五分之一。而百度 App 的 Feed 业务,Android 劫持率由 0.25% 降低到 0.05%。
此种优化方案,非常依赖 HTTPDNS 服务器,所以建议使用 阿里云、腾讯云 这样相对稳定的云服务商。
原文链接:https://www.jianshu.com/p/940be2e758ee
最后,小编这里放上自己整理的Android学习思维脑图及架构资料。
总结:
面试是一个不断学习、不断自我提升的过程,有机会还是出去面面,至少能想到查漏补缺效果,而且有些知识点,可能你自以为知道,但让你说,并不一定能说得很好。
有些东西有压力才有动力,而学到的知识点,都是钱(因为技术人员大部分情况是根据你的能力来定级、来发薪水的),技多不压身。
附上我的面试各大专题整理: 面试指南,满满的都是干货,希望对大家有帮助!
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
习资料的朋友,可以戳这里获取](https://bbs.csdn.net/topics/618156601)**
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!