什么是Https?
HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。它是一个URI Scheme(抽象标识符体系),句法类同Http:体系。用于安全的HTTP数据传输。Https:URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个系统的最初研发由网景公司(NetScape)进行,并内置于其浏览器Netscape Navigator中,提供了身份验证与加密通讯方法。现在它被广泛用于万维网上安全敏感的通讯,例如金融、网购等涉及支付的领域。
这次不装逼,我们来个深入浅出,先说最原始的Https,再说框架怎么框架怎么一句话使用Https
Android用原始Java代码怎么用Https
先普及一下Android怎么用最原始java代码请求网络,大神请掠过。
Android用Java开发,Java自带的http API有HttpURLConnection,Android系统又加上了Apache Httpclient,加上后来HttpClient在SDK中被Google删除,所以我们也不推荐使用HttpClient来做网络请求了,所以在这里呢也只给列出HttpURLConnection的方式。
第一步:打开某个地址的连接
这里咱打开我的博客地址,用GET方法请求
URL url = new URL("http://blog.csdn.net/yanzhenjie1003"); HttpURLConnection urlConnection = (HttpURLConnection) url.openConnection(); urlConnection.setRequestMethod("GET");
第二步:判断是Https请求,设置SSLSocketFactory
如果是Https请求,那么做安全校验等操作,这里设置SSLSokcetFactory,这里有两种方法,一种是包涵Https证书的,一种是没有证书直接允许Https请求的,而证书不证书就是从SSLContext中来的:
// 设置SSLSocketFoactory,这里有两种:1.需要安全证书 2.不需要安全证书;看官且往下看 if (urlConnection instanceof HttpsURLConnection) { // 是Https请求 SSLContext sslContext = SSLContextUtil.getSSLContext(); if (sslContext != null) { SSLSocketFactory sslSocketFactory = sslContext.getSocketFactory(); ((HttpsURLConnection) urlConnection).setSSLSocketFactory(sslSocketFactory); } }
那么SSLContext怎么生成呢,哈哈先不急,咱们先把这个请求的流程走完,证书的加载往后边看哦。
第三步:设置必要属性
// 设置属性
urlConnection.setConnectTimeout(8 * 1000);
urlConnection.setReadTimeout(8 * 1000);第四步:读取数据,发送到主线程,断开连接
int responseCode = urlConnection.getResponseCode(); if (responseCode == 200) { // 请求成功 InputStream inputStream = urlConnection.getInputStream(); // 读取结果,发送到主线程 ... inputStream.close(); } urlConnection.disconnect();
完整代码
URL url = new URL("http://blog.csdn.net/yanzhenjie1003"); HttpURLConnection urlConnection = (HttpURLConnection) url.openConnection(); urlConnection.setRequestMethod("GET"); // 设置SSLSocketFoactory,这里有两种:1.需要安全证书 2.不需要安全证书;看官且往下看 if (urlConnection instanceof HttpsURLConnection) { // 是Https请求 SSLContext sslContext = SSLContextUtil.getSSLContext(); if (sslContext != null) { SSLSocketFactory sslSocketFactory = sslContext.getSocketFactory(); ((HttpsURLConnection) urlConnection).setSSLSocketFactory(sslSocketFactory); } } // 设置属性 urlConnection.setConnectTimeout(8 * 1000); urlConnection.setReadTimeout(8 * 1000); int responseCode = urlConnection.getResponseCode(); if (responseCode == 200) { // 请求成功 InputStream inputStream = urlConnection.getInputStream(); // 读取结果,发送到主线程 ... inputStream.close(); } urlConnection.disconnect();
这样就完成整个请求,其实Android请求网络就这么点代码,然后我们再写完善一点,然后封装写参数,容错什么的,就是一个小框架啦。是不是很简单呢?
使用流行框架NoHttp怎么玩Https
用NoHttp不要太简单,什么传参数、传文件、下载之类的,基本都是一两句话就搞定。
Request<String> request = NoHttp.createStringRequest(url, RequestMethod.POST); // 注意这里设置SSLSokcetFactory的代码是相同的 SSLContext sslContext = SSLContextUtil.getSSLContext(); if (sslContext != null) { SSLSocketFactory socketFactory = sslContext.getSocketFactory(); httpsRequest.setSSLSocketFactory(socketFactory); requestQueue.add(0, request, httpListener);// 添加到请求队列,等待接受结果 }
我们注意到上面设置Socket的代码是相同的,剩下的就是一句话new一个请求对象就完事。是不是比原生的还要简单啊?
SSLSocketFactory对象怎么来
上面不论是纯Android代码还是NoHttp框架都用到了SSLContext,这家伙呢就是负责证书管理和信任管理器的,我们说Https可以有证书也可以没有证书,我们来看这两种情况。
有安全证书的SSLContext
我们把Https的证书放在assets目录下,然后通过流加载:
public static SSLContext getSSLContext() { // 生成SSLContext对象 SSLContext sslContext = SSLContext.getInstance("TLS"); // 从assets中加载证书 InputStream inStream = Application.getInstance().getAssets().open("srca.cer"); // 证书工厂 CertificateFactory cerFactory = CertificateFactory.getInstance("X.509"); Certificate cer = cerFactory.generateCertificate(inStream); // 密钥库 KeyStore kStore = KeyStore.getInstance("PKCS12"); kStore.load(null, null); kStore.setCertificateEntry("trust", cer);// 加载证书到密钥库中 // 密钥管理器 KeyManagerFactory keyFactory = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm()); keyFactory.init(kStore, null);// 加载密钥库到管理器 // 信任管理器 TrustManagerFactory tFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm()); tFactory.init(kStore);// 加载密钥库到信任管理器 // 初始化 sslContext.init(keyFactory.getKeyManagers(), tFactory.getTrustManagers(), new SecureRandom()); return sslContext; }
需要强调的是,最后一句中的new SecureRandom()在Android4.4之前的系统中有Bug。
修复Android系统中SecureRandom的Bug
Android 4.4之前版本的Java加密架构(JCA)中使用的Apache Harmony 6.0M3及其之前版本的SecureRandom实现存在安全漏洞,具体位于classlib/modules/security/src/main/java/common/org/apache/harmony/security/provider/crypto/SHA1PRNG_SecureRandomImpl.java文件的engineNextBytes()方法里。当用户没有提供用于产生随机数的种子时,程序不能正确调整偏移量,导致伪随机数生成器(PRNG)生成随机序列的过程可被预测。
But值得高兴的NoHttp内部已经fix了这一bug,如果大家要自己写框架,恐怕要写很多代码去修复这个问题啦,所以推荐各位看官还是使用NoHttp。
没有安全证书的SSLContext
上面看到需要需要安全证书的生成SSLContext就可以了,然后不需要证书的请求,需要两个对象,一个是SSLContext(上面已经解释过了);另一个是HostnameVerifier,顾名思义就是主机名称匹配的意思,我们看代码。
public static SSLContext getSLLContext() { SSLContext sslContext = null; try { sslContext = SSLContext.getInstance("TLS"); sslContext.init(null, new TrustManager[]{new X509TrustManager() { @Override public void checkClientTrusted(X509Certificate[] chain, String authType) {} @Override public void checkServerTrusted(X509Certificate[] chain, String authType) {} @Override public X509Certificate[] getAcceptedIssuers() { return new X509Certificate[0]; } }}, new SecureRandom()); } catch (Exception e) { e.printStackTrace(); } return sslContext; }
就这么简单,只需要传一个null证书管理器喝一个默认的信任管理器即可。
下面再来看HostnameVerifier,既然是主机名称校验,那我们直接通过:
private static HostnameVerifier hostnameVerifier = new HostnameVerifier() { @Override public boolean verify(String hostname, SSLSession session) { return true; } };
这个怎么用呢?Android原生代码用法中,获取SSLContext的方法名不一样,多了setHostnameVerifier,其它跟有安全证书的使用一致:
URL url = new URL("http://blog.csdn.net/yanzhenjie1003"); HttpURLConnection urlConnection = (HttpURLConnection) url.openConnection(); urlConnection.setRequestMethod("GET"); // 设置SSLSocketFoactory,这里有两种:1.需要安全证书 2.不需要安全证书;看官且往下看 if (urlConnection instanceof HttpsURLConnection) { // 是Https请求 SSLContext sslContext = SSLContextUtil.getSSLContext(); if (sslContext != null) { SSLSocketFactory sslSocketFactory = sslContext.getSLLContextNoCertificate(); ((HttpsURLConnection) urlConnection).setSSLSocketFactory(sslSocketFactory); ((HttpsURLConnection) urlConnection).setHostnameVerifier(SSLContextUtil.hostnameVerifier); } } // 设置属性 urlConnection.setConnectTimeout(8 * 1000); urlConnection.setReadTimeout(8 * 1000); int responseCode = urlConnection.getResponseCode(); if (responseCode == 200) { // 请求成功 InputStream inputStream = urlConnection.getInputStream(); // 读取结果,发送到主线程 ... inputStream.close(); } urlConnection.disconnect();
NoHttp用法,代码和上边的NoHttp加载证书的一样,多了一句setHostnameVerifier的:
Request<String> request = NoHttp.createStringRequest(url, RequestMethod.POST); SSLContext sslContext = SSLContextUtil.getSSLContext(); if (sslContext != null) { SSLSocketFactory socketFactory = sslContext.getSLLContextNoCertificate(); httpsRequest.setSSLSocketFactory(socketFactory); httpsRequest.setHostnameVerifier(SSLContextUtil.hostnameVerifier); requestQueue.add(0, request, httpListener);// 添加到请求队列,等待接受结果 }
Nohttp类似于volley的升级版,其使用步骤基本一致Nohttp的特点:
1.多种请求方式并发调用,支持get,post,put等网络解析方式。
2.文件上传,文件下载,下载进度回调,错误回调,支持暂停继续下载,支持取消大文件上传,不会发生OOM,支持File,InputStream,ByteArray,Bitmap,实现NOhttp的Binary接口,理论上任何东西都可以传。
3.支持取消某个请求,取消指定多个请求,取消所有请求。
4.支持自定义Request,利用NOhttp泛型可以解析成你想要的任何数据格式(String,Json,JavaBeann,XML,Bitmap)。
5.异步请求,拿到结果直接更新UI,支持同步请求。
Nohttp的使用步骤:
1. 进行关联
AndroidStudio使用方式:
如果使用HttpURLConnection作为网络层:
compile 'com.yolanda.nohttp:nohttp:1.1.0'
如果要使用OkHttp作为网络层,请再依赖:
compile 'com.yanzhenjie.nohttp:okhttp:1.1.0'
2. 在清单文件下加入权限
<uses-permission android:name="android.permission.READ_EXTERNAL_STORAGE" /> <uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE" /> <uses-permission android:name="android.permission.INTERNET" /> <uses-permission android:name="android.permission.ACCESS_NETWORK_STATE" /> <uses-permission android:name="android.permission.ACCESS_WIFI_STATE" />
3. 初始化(NoHttp初始化需要一个Context,最好在Application的onCreate()中初始化,需要在manifest.xml中注册Application)。
NoHttp.initialize(this);
4. 使用NOhttp进行网络请求
新建一个队列用来添加消息请求,可以并发多个消息请求,默认为3个
发送消息请求,并添加到队列
设置结果回调监听,对请求结果进行统一处理
1.找到Studio中build.gradle文件,在dependencies下加入依赖(这里使用HttpURLConnection作为网络层)
compile 'com.yolanda.nohttp:nohttp:1.1.0'
2.在清单文件中加入权限
3.布局文件以及初始化
<LinearLayout xmlns:android="http://schemas.android.com/apk/res/android" xmlns:tools="http://schemas.android.com/tools" android:layout_width="match_parent" android:layout_height="match_parent" android:orientation="vertical"> <Button android:id="@+id/btnGet" android:layout_width="match_parent" android:layout_height="wrap_content" android:text="Get方式获取网络数据" /> <Button android:id="@+id/btnPost" android:layout_width="match_parent" android:layout_height="wrap_content" android:text="Post方式获取网络数据" /> <ScrollView android:layout_width="wrap_content" android:layout_height="wrap_content"> <TextView android:id="@+id/txtShow" android:layout_width="wrap_content" android:layout_height="wrap_content" /> </ScrollView> </LinearLayout>
Nohttp在初始化时,最好在Application的onCreate()中初始化,新建一个类继承Application
public class MyApplication extends Application{ @Override public void onCreate() { //NoHttp默认初始化 NoHttp.initialize(this); super.onCreate(); } }
注意:还要再清单文件注册Application
4. 使用NOhttp进行网络请求,MainActivity代码如下(点击事件中为Nohttp主要代码):
public class MainActivity extends AppCompatActivity implements View.OnClickListener { private Button btnGet; private Button btnPost; private TextView txtShow; @Override protected void onCreate(Bundle savedInstanceState) { super.onCreate(savedInstanceState); setContentView(R.layout.activity_main); initView(); } private void initView() { btnGet = (Button) findViewById(R.id.btnGet); btnPost = (Button) findViewById(R.id.btnPost); txtShow = (TextView) findViewById(R.id.txtShow); btnGet.setOnClickListener(this); btnPost.setOnClickListener(this); } /** * 根据点击事件,执行Nohttp的get方式 */ @Override public void onClick(View v) { switch (v.getId()) { case R.id.btnGet: // 使用Nohttp进行网络访问的网址 String url = "http://www.baidu.com"; // 1.创建一个队列 RequestQueue queue = NoHttp.newRequestQueue(); // 2.创建消息请求,参数1 String字符串,传网址,参数2 指定请求的方式 // 提示:请求的数据是什么类型,就调用对应的方法,主要是中间的单词不一样 Request<String> request = NoHttp.createStringRequest(url, RequestMethod.GET); // 3利用队列去添加消息请求 参数1:请求的标识 参数2:消息请求对象 参数3:请求的回调监听 // 请求可以并发,统一处理响应结果 queue.add(0, request, new OnResponseListener<String>() { // 请求开始时,回调的方法,一般做进度条对话框的加载 @Override public void onStart(int what) { } // 请求成功,回调的方法,代码直接运行到主线程 @Override public void onSucceed(int what, Response<String> response) { // 获取的相应结果设置到TextView进行展示 String result = response.get(); txtShow.setText(result); } // 网络请求失败的回调,代码直接运行到主线程 @Override public void onFailed(int what, Response<String> response) { } // 网络请求成功,一般隐藏进度条对话框 @Override public void onFinish(int what) { } }); break; // 根据点击事件,执行Nohttp的post方式 case R.id.btnPost: String url1 = "post请求需要访问服务器,这里写需要访问的服务器网址"; // 1.创建一个队列 RequestQueue queue1 = NoHttp.newRequestQueue(); // 2.创建消息请求 参数1:String字符串,传网址 参数2:指定请求方式 Request<String> request1 = NoHttp.createStringRequest(url1, RequestMethod.POST); // 3.利用队列去添加消息请求 queue1.add(1, request1, new OnResponseListener<String>() { @Override public void onStart(int what) { } @Override public void onSucceed(int what, Response<String> response) { txtShow.setText(response.get()); } @Override public void onFailed(int what, Response<String> response) { Toast.makeText(MainActivity.this, "请求失败", Toast.LENGTH_SHORT).show(); } @Override public void onFinish(int what) { } }); break; } } }