HTTPS ,该来的总要来的。
最近领导对移动端开发提出了很多优化的要求啊!其中一点就是数据安全性,之前安卓后端接口一直是用的HTTP,那么我想了想,HTTPS应该是入门级的了,赶紧找资料整理了下!
对于向权威机构申请过证书的网络地址,用OkHttp或者HttpsURLConnection都可以直接访问,不需要做额外的事情。但是申请证书要$$的,所以开发的时候我们接口经常是使用自签名证书,或者即使上线了也还是用自签名的,因为安卓用到的基本都是数据接口,又不会用浏览器访问,不想付钱不行咩!
访问自签名网址
使用keytool生成证书
keytool是JDK提供的管理加密密钥、X.509证书链和可信证书密钥库的简便工具。安卓开发必定安装了JDK并且一般都会配置好环境变量,所以你可以直接在终端或DOC窗口输入keytool命令来查看帮助。
1.生成密钥对
1
keytool -genkey -alias server -keyalg RSA -keystore server.jks
-alias后面跟的是唯一别名,-keystore后面填保存秘钥对的文件路径
还可以添加一个-validity 天数声明有效期
需要注意的地方:执行命令之后第一个问题让你输入名字的地方最好设置成域名,比如这样baidu.com或者这样localhost,反正匹配你要调式的域名就对了,当然,如果你在安卓上调试,那么本地地址可能用不了。
2.导出证书
上面生成了服务端使用的密钥对,现在可以通过它生成证书给客户端使用
1
keytool -export -alias server -storepass 123456 -keystore server.jks -file server.cer
-storepass后面跟的是你刚才设置的密码,不加这个也没关系,它会主动问你!;-file设置了保存证书的路径
服务端配置
这里我使用tomcat8进行测试,它的配置很简单,修改tomcat目录下的conf/server.xml文件,添加如下内容,这里设置了端口号为8443
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="密钥库文件路径,也就是.jks文件"
keystorePass="密码" />
安卓端配置
加载证书
把之前生成的证书(.cer)放到安卓项目的assets或者raw目录下,读取文件流用以下方法获取SSLSocketFactory 。
public static SSLSocketFactory getSslSocketFactory(InputStream certificates)
{
SSLContext sslContext = null;
try
{
CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");
Certificate ca;
try {
ca = certificateFactory.generateCertificate(certificates);
} finally {
certificates.close();
}
// Create a KeyStore containing our trusted CAs
String keyStoreType = KeyStore.getDefaultType();
KeyStore keyStore = KeyStore.getInstance(keyStoreType);
keyStore.load(null, null);
keyStore.setCertificateEntry("ca", ca);
// Create a TrustManager that trusts the CAs in our KeyStore
String tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm();
TrustManagerFactory tmf = TrustManagerFactory.getInstance(tmfAlgorithm);
tmf.init(keyStore);
// Create an SSLContext that uses our TrustManager
sslContext = SSLContext.getInstance("TLS");
sslContext.init(null, tmf.getTrustManagers(), null);
} catch (Exception e)
{
e.printStackTrace();
}
return sslContext != null? sslContext.getSocketFactory():null;
}OkHttp
在OkHttp中使用很简单,获取SSLSocketFactory之后通过OkHttp的构建方法传入就行了。
使用的OkHttp版本是3.2.0。
OkHttpClient client = new OkHttpClient.Builder()
.sslSocketFactory(sslSocketFactory)
.build();
设置完之后你就可以访问该证书对应的域名地址了,不需要别的附加操作了。
HttpsURLConnection
OkHttp的API与安卓中默认提供的URLConnection是很接近的,所以配置也是如出一辙。
URL url = new URL("https://....");
HttpsURLConnection httpsURLConnection = (HttpsURLConnection) url.openConnection();
httpsURLConnection.setSSLSocketFactory(sslSocketFactory);
双向验证
双向认证需要两个密钥实体,一个放服务端一个放客户端。
前面我们已经实现单向的认证,现在只需要给客户端生成一个密钥库,并且让服务端信任客户端就可以了。
生成客户端密钥
keytool -genkey -alias android -keyalg RSA -keystore android.jks
导出客户端证书(字符串形式)
keytool -keystore android.jks -alias android -exportcert -rfc > android.pem
将导出的证书添加信任到服务端的密钥库
keytool -importcert -trustcacerts -alias android -keystore server.jks -file android.pem
服务端配置
修改tomcat目录下的conf/server.xml文件
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
sslProtocol="TLS"
keystoreFile="密钥库文件路径,也就是.jks文件"
keystorePass="密码"
//修改两条内容,其它和之前单向认证一样就行
clientAuth="true"
truststoreFile="和keystoreFile填一样" />