微信公众号开发 https访问的封装

微信开发者文档中指出，第三方在访问微信接口时大多数采用的是https的访问模式，其中有这三种特点：
1.https请求
2.get或post请求方式
3.支持有参数和没有参数提交
百度百科中指出HTTPS（全称：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。 它是一个URI scheme（抽象标识符体系），句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层（在HTTP与TCP之间）。这个系统的最初研发由网景公司(Netscape)进行，并内置于其浏览器Netscape Navigator中，提供了身份验证与加密通讯方法。现在它被广泛用于万维网上安全敏感的通讯，例如交易支付方面。

　JSSE简介

　　Java安全套接扩展 (Java Secure Socket Extension, JSSE)是实现Internet安全通信的一系列包的集合。它是一个SSL和TLS的纯Java实现，可以透明地提供数据加密、服务器认证、信息完整性 等功能，可以使我们像使用普通的套接字一样使用JSSE建立的安全套接字。JSSE是一个开放的标准，不只是Sun公司才能实现一个JSSE，事实上其他 公司有自己实现的JSSE。

　　在深入了解JSSE之前，需要了解一个有关Java安全的概念：客户端的TrustStore文件。客户端的TrustStore文件中保存着被客户端所信任的服务器的证书信息。客户端在进行SSL连接时，JSSE将根据这个文件中的证书决定是否信任服务器端的证书。

　　JSSE中，有一个信任管理器类负责决定是否信任远端的证书，这个类有如下的处理规则：

　　⑴ 果系统属性javax.net.sll.trustStore指定了TrustStore文件，那么信任管理器就去jre安装路径下的lib/security/目录中寻找并使用这个文件来检查证书。

　　⑵ 果该系统属性没有指定TrustStore文件，它就会去jre安装路径下寻找默认的TrustStore文件，这个文件的相对路径为：lib/security/jssecacerts。

　　⑶ 如果 jssecacerts不存在，但是cacerts存在(它随J2SDK一起发行，含有数量有限的可信任的基本证书)，那么这个默认的TrustStore文件就是cacerts。

　　直接使用类HttpsURLConnection访问Web页面

　　Java提供了一种非常简洁的方法来访问HTTPS网页，即使用类HttpsURLConnection、URL等。这几个类为支持HTTPS对JSSE相关类做了进一步的封装，例子如下所示：
　

URL reqURL = new URL("https://www.sun.com" ); //创建URL对象
HttpsURLConnection httpsConn = (HttpsURLConnection)reqURL.openConnection();

/*下面这段代码实现向Web页面发送数据，实现与网页的交互访问
httpsConn.setDoOutput(true);
OutputStreamWriter out = new OutputStreamWriter(huc.getOutputStream(), "8859_1");
out.write( "……" );
out.flush();
out.close();
*/

//取得该连接的输入流，以读取响应内容
InputStreamReader insr = new InputStreamReader(httpsConn.getInputStream();

//读取服务器的响应内容并显示
int respInt = insr.read();
while( respInt != -1){
　System.out.print((char)respInt);
　respInt = insr.read();
}

所以想要使用https请求访问微信的接口，有两种可以实现的方式：

1.将证书导入到TrustStore文件中
Java提供了命令行工具keytool用于创建证书或者把证书从其它文件中导入到Java自己的TrustStore文件中。把证书从其它文件导入到TrustStore文件中的命令行格式为：

keytool -import -file src_cer_file –keystore dest_cer_store

其中，src_cer_file为存有证书信息的源文件名，dest_cer_store为目标TrustStore文件。
在使用keytool之前，首先要取得源证书文件，这个源文件可使用IE浏览器获得，IE浏览器会把访问过的HTTPS站点的证书保存到本地。从IE 浏览器导出证书的方法是打开“Internet 选项”，选择“内容”选项卡，点击“证书…”按钮，在打开的证书对话框中，选中一个证书，然后点击“导出…”按钮，按提示一步步将该证书保存到一文件中。 最后就可利用keytool把该证书导入到Java的TrustStore文件中。为了能使Java程序找到该文件，应该把这个文件复制到jre安装路径 下的lib/security/目录中。

这样，只需在程序中设置系统属性javax.net.sll.trustStore指向文件dest_cer_store，就能使JSSE信任该证书，从而使程序可以访问使用未经验证的证书的HTTPS站点。
使用这种方法，编程非常简单，但需要手工导出服务器的证书。当服务器证书经常变化时，就需要经常进行手工导出证书的操作。下面介绍的实现X509证书信任管理器类的方法将避免手工导出证书的问题。

2.X509证书信任管理器类的实现及应用
在JSSE中，证书信任管理器类就是实现了接口X509TrustManager的类。我们可以自己实现该接口，让它信任我们指定的证书。
　　接口X509TrustManager有下述三个公有的方法需要我们实现：

　　⑴ void checkClientTrusted(X509Certificate[] chain, String authType) 
throws CertificateException

　　该方法检查客户端的证书，若不信任该证书则抛出异常。由于我们不需要对客户端进行认证，因此我们只需要执行默认的信任管理器的这个方法。JSSE中，默认的信任管理器类为TrustManager。

　　⑵ void checkServerTrusted(X509Certificate[] chain, String authType) 
throws CertificateException 

　　该方法检查服务器的证书，若不信任该证书同样抛出异常。通过自己实现该方法，可以使之信任我们指定的任何证书。在实现该方法时，也可以简单的不做任何处理，即一个空的函数体，由于不会抛出异常，它就会信任任何证书。

　　⑶ X509Certificate[] getAcceptedIssuers() 

　　返回受信任的X509证书数组。
java完整代码：

/*
 *证书信任管理器（用于实现https） 
 */
public class MyX509TrustManager implements X509TrustManager{

    @Override
    public void checkClientTrusted(X509Certificate[] arg0, String arg1)
            throws CertificateException {
        // TODO Auto-generated method stub

    }

    @Override
    public void checkServerTrusted(X509Certificate[] arg0, String arg1)
            throws CertificateException {
        // TODO Auto-generated method stub

    }

    @Override
    public X509Certificate[] getAcceptedIssuers() {
        // TODO Auto-generated method stub
        return null;
    }

}

　　自己实现了信任管理器类，如何使用呢？类HttpsURLConnection似乎并没有提供方法设置信任管理器。其 实，HttpsURLConnection通过SSLSocket来建立与HTTPS的安全连接，SSLSocket对象是由 SSLSocketFactory生成的。HttpsURLConnection提供了方法 setSSLSocketFactory(SSLSocketFactory)设置它使用的SSLSocketFactory对象。 SSLSocketFactory通过SSLContext对象来获得，在初始化SSLContext对象时，可指定信任管理器对象。下面用一个图简单表 示这几个JSSE类的关系：

图1 部分JSSE类的关系图
　　假设自己实现的X509TrustManager类的类名为：MyX509TrustManager，下面的代码片断说明了如何使用MyX509TrustManager：

public class HttpsUtil {

    public static void https(String requestUrl,String requestMethod,String submitData)
    {
        try {
            //设置https访问模式，采用SSL加密
            TrustManager[] tm={new MyX509TrustManager()};
            // 创建SSLContext对象，并使用我们指定的信任管理器初始化
            SSLContext sslContext=SSLContext.getInstance("SSL","SunJSSE");
            sslContext.init(null, tm, new java.security.SecureRandom());
            //从sslContext获取SSLSocketFactory
            SSLSocketFactory ssf=sslContext.getSocketFactory();
            URL url=new URL(requestUrl);
            HttpsURLConnection httpsURLCon=(HttpsURLConnection) url.openConnection();
            httpsURLCon.setSSLSocketFactory(ssf);
            httpsURLCon.setDoInput(true);
            httpsURLCon.setDoOutput(true);
            httpsURLCon.setUseCaches(false);
            httpsURLCon.setRequestMethod(requestMethod);//设置请求方式get；post
            if ("GET".equalsIgnoreCase(requestMethod)) {
                httpsURLCon.connect();
            }
            //当需要有数据提交给微信接口时
            if (null!=submitData) {
                OutputStream outputStream=httpsURLCon.getOutputStream();
                outputStream.write(submitData.getBytes("UTF-8"));
                outputStream.close();
            }
    }
        catch(Exception e)
        {
            e.printStackTrace();
        }
    }
}

于此，我们就封装了一个https请求的方法，接下来我们可以通过这个方法来调用https访问微信的接口来实现诸如修改菜单，上传图片等等功能。