公司的项目,出于安全考虑,使用https的方式来交互数据。这段时间也是被https折磨了一下,以一个新手的角度记录下Android下https的相关东西。
首先,https是需要证书才能访问到的,对于开发者来说,这个证书后台会提供的。拿到证书之后,网络请求要加上这个证书的信息有两种方式:
1、第一种就是把证书文件放置在assets下面,然后在Application的onCreate方法内加上如下代码来读取且设置证书
try {
OkHttpClientManager.getInstance().setCertificates(getAssets().open("abc.cer"));
} catch (IOException e) {
e.printStackTrace();
}
这里网络请求使用的是OkHttp,“abc.cer”是证书的名字,setCertificates方法如下:
public void setCertificates(InputStream... certificates) {
try {
CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");
KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
keyStore.load(null);
int index = 0;
for (InputStream certificate : certificates) {
String certificateAlias = Integer.toString(index++);
keyStore.setCertificateEntry(certificateAlias, certificateFactory.generateCertificate(certificate));
try {
if (certificate != null)
certificate.close();
} catch (IOException e) {
}
}
SSLContext sslContext = SSLContext.getInstance("TLS");
TrustManagerFactory trustManagerFactory =
TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
trustManagerFactory.init(keyStore);
sslContext.init(
null,
trustManagerFactory.getTrustManagers(),
new SecureRandom()
);
mOkHttpClient.setSslSocketFactory(sslContext.getSocketFactory());
} catch (Exception e) {
e.printStackTrace();
}
}
2、如果不想放证书进入,可以读取出来证书的内容,然后用如下方式
final String CER_XXX = "aaaaaa"; // 证书内容
try {
OkHttpClientManager.getInstance().setCertificates(new Buffer()
.writeUtf8(CER_XXX)
.inputStream());
} catch (IOException e) {
e.printStackTrace();
}
正常情况下,使用以上任意一种方式之后,就能请求到https接口的数据了。但是作为新手总是会遇到坑... 笔者就发现,测试环境的https完全正常,但是正式环境的https却访问不到数据了,证书当然是正确的,那么是为什么呢?
原来,大多数情况下,服务器所使用的根证书是自签名的,或者签名机构不在设备的信任证书列表中,这样使用httpclient进行https连接就会失败。解决这个问题的办法有两种,一是在发起https连接之前将服务器证书加到httpclient的信任证书列表中,这个相对来说比较复杂一些,很容易出错;另一种办法是让httpclient信任所有的服务器证书,这种办法相对来说简单很多,但安全性则差一些,但在某些场合下有一定的应用场景。
好吧,笔者还是选择后者好了,在加了如下代码信任所有服务器证书之后,问题解决。
mOkHttpClient.setHostnameVerifier(new HostnameVerifier() {
@Override
public boolean verify(String hostname, SSLSession session) {
return true;
}
});