美文网首页
android进阶-https

android进阶-https

作者: xbase | 来源:发表于2018-04-07 21:57 被阅读18次

首先,要先介绍一下https,相信大家都知道http,这是一个位于应用层的网络数据交互协议,那么很明显,为什么要有https呢,这个“s”指的是什么意思呢?答:security,意思就是保证能够安全地进行网络数据交互。

让我们来看看http的缺点:
1.无法验证传输/接收方的身份 。
2.传输明文 。
3.无法保证数据的完整性,易被篡改。

最后来看看https为了解决这些问题而做的努力以及为此付出的代价:
1.服务器验证:
验证CA证书机构身份,用公钥解密出服务端的公钥,同时要验证服务端ip地址,hostname是否跟想要访问的是一个服务器,如果是自签的证书,需要针对证书身份做校验,这就是需要客户端里面放置cer证书的原因,如果不是自签,按照原理说是不需要做验证的,但是有些手机没有内置一些CA证书,所以最保险的保证兼容性的方法就是不管是不是自签,都要做验证。。
2.客户端验证:在服务端,针对客户端进行身份验证,验证方法需要读取客户端的jks,并与cer作验证。
3.数据完整性。
4.效率相对http较为低下。
5.加密。
6.普适性,都使用统一的协议。

接着,针对原理,对照图示,解释一下,https是如何做到这些的:


https交互流程.png

首先公司的服务器开发或者运营人员向CA机构申请证书,并生成一对秘钥(非对称秘钥,也就是分私钥和公钥),为了做一个区分,先把这个公钥命名为公钥P,将公钥P交给CA机构,CA机构在线下线上通过各种方法验证组织真实存在,然后将证书里的明文信息(申请者公钥、申请者组织信息和个人信息、CA机构信息、证书有效时间、证书序列号等)进行hash,得到一个信息摘要,然后使用CA机构的私钥W对信息摘要进行解密得到数字签名,客户端通过握手得到服务器端发来的证书,首先受用相同的hash算法计算出明文信息的信息摘要A,再使用客户端内置的CA证书取出CA公钥Z,用公钥Z解密数字签名得到信息摘要B,比对信息摘要A和信息摘要B,来确认证书的合法性。成功后,通过公钥P加密master secret(随机数)后发送给服务器,服务器通过公钥P对应的私钥Q来解密客户端传输过来的加密过的master secret,得到master secret,再通过master secret、Server random、client random生成session key作为对称秘钥,使客户端和服务器端进行通信。


手写客户端和服务端的https交互示意图

解释完原理,下面介绍使用okhttp是如何配置https验证的:
第一步:通过工厂类生成一个证书Certificate

 CertificateFactory cf = CertificateFactory.getInstance("X.509");
    InputStream caInput = context.getResources().getAssets().open(name);
    Certificate ca = cf.generateCertificate(caInput);
    caInput.close();

第二步:通过ca初始化keyStore

 if(keyStoreType ==null|| keyStoreType.length() ==0) {
        keyStoreType = KeyStore.getDefaultType();
    }
    KeyStore keyStore = KeyStore.getInstance(keyStoreType);
    keyStore.load(null,null);
    keyStore.setCertificateEntry("ca", ca);

第三步:通过keyStore初始化一个TrustManagerFactory

 String tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm();
    TrustManagerFactory tmf = TrustManagerFactory.getInstance(tmfAlgorithm);
    tmf.init(keyStore);

第四步:

 final X509TrustManager wrappedTrustManagers = (X509TrustManager) tmf.getTrustManagers()[0];
    return new X509TrustManager() {
        public X509Certificate[] getAcceptedIssuers() {
            return originalTrustManager.getAcceptedIssuers();
        }

        public void checkClientTrusted(X509Certificate[] certs, String authType) {
            try {
                originalTrustManager.checkClientTrusted(certs, authType);
            } catch (CertificateException e) {
                e.printStackTrace();
            }
        }

        public void checkServerTrusted(X509Certificate[] certs, String authType) {
            try {
                originalTrustManager.checkServerTrusted(certs, authType);
            } catch (CertificateException e) {
                e.printStackTrace();
            }
        }
    };

第五步:使用TrustManager初始化一个SSLContext

 SSLContext sslContext = SSLContext.getInstance("TLS");
    sslContext.init(null, wrappedTrustManagers,null);

第六步:使用SSLSocketFactory sslSocketFactory和 X509TrustManager trustManager设置OkHttpClient.Builder的sslSocketFactory方法

 client = new OkHttpClient();
    OkHttpClient.Builder builder = client.newBuilder();
    builder.sslSocketFactory(mySSLContext.getSslSocketFactory()/*,mySSLContext.getX509TrustManager()*/);
    client = builder.build();

这样就大功告成了,最后上面几步是原理步骤,如有不懂,可以使用下面github上传的源代码:https://github.com/xfmax/TestOkhttp

相关文章

网友评论

      本文标题:android进阶-https

      本文链接:https://www.haomeiwen.com/subject/jntehftx.html