android进阶-https

首先，要先介绍一下https，相信大家都知道http，这是一个位于应用层的网络数据交互协议，那么很明显，为什么要有https呢，这个“s”指的是什么意思呢？答：security，意思就是保证能够安全地进行网络数据交互。

让我们来看看http的缺点：
1.无法验证传输/接收方的身份 。
2.传输明文 。
3.无法保证数据的完整性，易被篡改。

最后来看看https为了解决这些问题而做的努力以及为此付出的代价：
1.服务器验证：
验证CA证书机构身份，用公钥解密出服务端的公钥，同时要验证服务端ip地址，hostname是否跟想要访问的是一个服务器，如果是自签的证书，需要针对证书身份做校验，这就是需要客户端里面放置cer证书的原因，如果不是自签，按照原理说是不需要做验证的，但是有些手机没有内置一些CA证书，所以最保险的保证兼容性的方法就是不管是不是自签，都要做验证。。
2.客户端验证：在服务端，针对客户端进行身份验证，验证方法需要读取客户端的jks，并与cer作验证。
3.数据完整性。
4.效率相对http较为低下。
5.加密。
6.普适性，都使用统一的协议。

接着，针对原理，对照图示，解释一下，https是如何做到这些的：

https交互流程.png

首先公司的服务器开发或者运营人员向CA机构申请证书，并生成一对秘钥（非对称秘钥，也就是分私钥和公钥），为了做一个区分，先把这个公钥命名为公钥P，将公钥P交给CA机构，CA机构在线下线上通过各种方法验证组织真实存在，然后将证书里的明文信息（申请者公钥、申请者组织信息和个人信息、CA机构信息、证书有效时间、证书序列号等）进行hash，得到一个信息摘要，然后使用CA机构的私钥W对信息摘要进行解密得到数字签名，客户端通过握手得到服务器端发来的证书，首先受用相同的hash算法计算出明文信息的信息摘要A，再使用客户端内置的CA证书取出CA公钥Z，用公钥Z解密数字签名得到信息摘要B，比对信息摘要A和信息摘要B，来确认证书的合法性。成功后，通过公钥P加密master secret(随机数)后发送给服务器，服务器通过公钥P对应的私钥Q来解密客户端传输过来的加密过的master secret，得到master secret，再通过master secret、Server random、client random生成session key作为对称秘钥，使客户端和服务器端进行通信。

手写客户端和服务端的https交互示意图

解释完原理，下面介绍使用okhttp是如何配置https验证的：
第一步：通过工厂类生成一个证书Certificate

 CertificateFactory cf = CertificateFactory.getInstance("X.509");
    InputStream caInput = context.getResources().getAssets().open(name);
    Certificate ca = cf.generateCertificate(caInput);
    caInput.close();

第二步：通过ca初始化keyStore

 if(keyStoreType ==null|| keyStoreType.length() ==0) {
        keyStoreType = KeyStore.getDefaultType();
    }
    KeyStore keyStore = KeyStore.getInstance(keyStoreType);
    keyStore.load(null,null);
    keyStore.setCertificateEntry("ca", ca);

第三步：通过keyStore初始化一个TrustManagerFactory

 String tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm();
    TrustManagerFactory tmf = TrustManagerFactory.getInstance(tmfAlgorithm);
    tmf.init(keyStore);

第四步：

 final X509TrustManager wrappedTrustManagers = (X509TrustManager) tmf.getTrustManagers()[0];
    return new X509TrustManager() {
        public X509Certificate[] getAcceptedIssuers() {
            return originalTrustManager.getAcceptedIssuers();
        }

        public void checkClientTrusted(X509Certificate[] certs, String authType) {
            try {
                originalTrustManager.checkClientTrusted(certs, authType);
            } catch (CertificateException e) {
                e.printStackTrace();
            }
        }

        public void checkServerTrusted(X509Certificate[] certs, String authType) {
            try {
                originalTrustManager.checkServerTrusted(certs, authType);
            } catch (CertificateException e) {
                e.printStackTrace();
            }
        }
    };

第五步：使用TrustManager初始化一个SSLContext

 SSLContext sslContext = SSLContext.getInstance("TLS");
    sslContext.init(null, wrappedTrustManagers,null);

第六步：使用SSLSocketFactory sslSocketFactory和 X509TrustManager trustManager设置OkHttpClient.Builder的sslSocketFactory方法

 client = new OkHttpClient();
    OkHttpClient.Builder builder = client.newBuilder();
    builder.sslSocketFactory(mySSLContext.getSslSocketFactory()/*,mySSLContext.getX509TrustManager()*/);
    client = builder.build();

这样就大功告成了，最后上面几步是原理步骤，如有不懂，可以使用下面github上传的源代码：https://github.com/xfmax/TestOkhttp