为什么要使用ip直连这种方式去请求我们的服务器呢?这其实和国内运营伤有关,运营商有时为了利益会将你的域名劫持换成他人的域名,为了防止这种情况的发生通用的解决办法要么联系运营商要么就只能使用ip直连了。普遍大家目前使用的都是okHttp,这里就以okHttp为例子。其实非常简单只需要设置一下两个方法就行:

        OkHttpClient.Builder builder = new OkHttpClient.Builder();

        ....

        String domain = ....;

        builder.sslSocketFactory(new TlsSniSocketFactory(domain), new SSLUtil.TrustAllManager())

                .hostnameVerifier(new TrueHostnameVerifier(domain));

通过调用sslSocketFactory()方法传入两个参数一个是:SSLSocket,还有一个x509TrustManager。我们来看看第一个参数是如何实现的:

public class TlsSniSocketFactory extends SSLSocketFactory {

    private final String TAG = TlsSniSocketFactory.class.getSimpleName();

    HostnameVerifier hostnameVerifier = HttpsURLConnection.getDefaultHostnameVerifier();

    String peerHost;

    public TlsSniSocketFactory(String peerHost) {

        this.peerHost = peerHost;

    }

    public TlsSniSocketFactory() {

    }

    @Override

    public Socket createSocket() {

        return null;

    }

    @Override

    public Socket createSocket(String host, int port) {

        return null;

    }

    @Override

    public Socket createSocket(String host, int port, InetAddress localHost, int localPort) {

        return null;

    }

    @Override

    public Socket createSocket(InetAddress host, int port) {

        return null;

    }

    @Override

    public Socket createSocket(InetAddress address, int port, InetAddress localAddress, int localPort) {

        return null;

    }

    // TLS layer

    @Override

    public String[] getDefaultCipherSuites() {

        return new String[0];

    }

    @Override

    public String[] getSupportedCipherSuites() {

        return new String[0];

    }

    @Override

    public Socket createSocket(Socket plainSocket, String host, int port, boolean autoClose) throws IOException {

        if (TextUtils.isEmpty(peerHost)) {

            peerHost = host;

            peerHost =  ....;

        }        Log.i(TAG, "customized createSocket. host: " + peerHost);

        InetAddress address = plainSocket.getInetAddress();

        if (autoClose) {

            // we don't need the plainSocket

            plainSocket.close();

        }

        // create and connect SSL socket, but don't do hostname/certificate verification yet

        SSLCertificateSocketFactory sslSocketFactory = (SSLCertificateSocketFactory) SSLCertificateSocketFactory.getDefault(0);

        SSLSocket ssl = (SSLSocket) sslSocketFactory.createSocket(address, port);

        // enable TLSv1.1/1.2 if available

        ssl.setEnabledProtocols(ssl.getSupportedProtocols());

        // set up SNI before the handshake

        if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.JELLY_BEAN_MR1) {

            Log.i(TAG, "Setting SNI hostname");

            sslSocketFactory.setHostname(ssl, peerHost);

        } else {

            Log.d(TAG, "No documented SNI support on Android <4.2, trying with reflection");

            try {

                java.lang.reflect.Method setHostnameMethod = ssl.getClass().getMethod("setHostname", String.class);

                setHostnameMethod.invoke(ssl, peerHost);

            } catch (Exception e) {

                Log.w(TAG, "SNI not useable", e);

            }

        }

        // verify hostname and certificate

        SSLSession session = ssl.getSession();

        if (!hostnameVerifier.verify(peerHost, session))

            throw new SSLPeerUnverifiedException("Cannot verify hostname: " + peerHost);

        Log.i(TAG, "Established " + session.getProtocol() + " connection with " + session.getPeerHost() +

                " using " + session.getCipherSuite());

        return ssl;

    }

}

为了防止获取不到domain将外围的domain塞入,将这个domain塞入返回我们的ssl。x509TrustManagerx信任了所有的证书,当然正常情况下应该使用和后端约定好的证书,代码如下:

public class SSLUtil {

    /**

     * 默认信任所有的证书

     * TODO 最好加上证书认证,主流App都有自己的证书

     *

     * @return

     */

    @SuppressLint("TrulyRandom")

    public static SSLSocketFactory createSSLSocketFactory() {

        SSLSocketFactory sSLSocketFactory = null;

        try {

            SSLContext sc = SSLContext.getInstance("TLS");

            sc.init(null, new TrustManager[]{new TrustAllManager()},

                    new SecureRandom());

            sSLSocketFactory = sc.getSocketFactory();

        } catch (Exception e) {

        }

        return sSLSocketFactory;

    }

    public static class TrustAllManager implements X509TrustManager {

        @Override

        public void checkServerTrusted(X509Certificate[] chain, String authType)

        {

        }

        @Override

        public void checkClientTrusted(X509Certificate[] chain, String authType) {

        }

        @Override

        public X509Certificate[] getAcceptedIssuers() {

            return new X509Certificate[0];

        }

    }

    public static class TrustAllHostnameVerifier implements HostnameVerifier {

        @Override

        public boolean verify(String hostname, SSLSession session) {

            return true;

        }

    }

}

最后https需要校验我的domain是否是服务器提供的domain:

public class TrueHostnameVerifier implements HostnameVerifier {

    public  String domain;

    public TrueHostnameVerifier(String domain) {

        this.domain = domain;

    }

    public TrueHostnameVerifier() {

    }

    @Override

    public boolean verify(String hostname, SSLSession session) {

        if(TextUtils.isEmpty(domain)) {

            domain = ...;

        }

        return HttpsURLConnection.getDefaultHostnameVerifier().verify(domain, session);

    }

}

以上代码可以直接拷贝,省略号代码具体代码可能需要你自己去实现。希望对你有所帮助。

Android使用HTTPS进行IP直连握手失败问题(okHttp)的更多相关文章

  1. HTTPS IP直连问题小结

    HTTPS IP直连问题小结: https://blog.csdn.net/leelit/article/details/77829196 可以使用OkHttpClient进行相同IP地址,不同DNS ...

  2. fiddler Android下https抓包全攻略

    fiddler Android下https抓包全攻略 fiddler的http.https的抓包功能非常强大,可非常便捷得对包进行断点跟踪和回放,但是普通的配置对于像招商银行.支付宝.陌陌这样的APP ...

  3. 在深谈TCP/IP三步握手&四步挥手原理及衍生问题—长文解剖IP

    如果对网络工程基础不牢,建议通读<细说OSI七层协议模型及OSI参考模型中的数据封装过程?> 下面就是TCP/IP(Transmission Control Protoco/Interne ...

  4. 关于Android的https通讯安全

    原文链接:http://pingguohe.net/2016/02/26/Android-App-secure-ssl.html 起因 前段时间,同事拿着一个代码安全扫描出来的 bug 过来咨询,我一 ...

  5. Android 使用 HTTPS 问题解决(SSLHandshakeException)

    title date categories tags Android 5.0以下TLS1.x SSLHandshakeException 2016-11-30 12:17:02 -0800 Andro ...

  6. TCP/IP三次握手与四次挥手的正确姿势

    0.史上最容易理解的:TCP三次握手,四次挥手 https://cloud.tencent.com/developer/news/257281 A 理解TCP/IP三次握手与四次挥手的正确姿势http ...

  7. https握手失败案例(一)

      OkHttpClient okHttpClient = new OkHttpClient.Builder() .connectTimeout(15, TimeUnit.SECONDS) .read ...

  8. 使用wireshark 抓取 http https tcp ip 协议进行学习

    使用wireshark 抓取 http https tcp ip 协议进行学习 前言 本节使用wireshark工具抓包学习tcp ip http 协议 1. tcp 1.1 tcp三次握手在wire ...

  9. android 通过socket获取IP

    如题<android 通过socket获取IP>: socket.getInetAddress().getHostAddress();

随机推荐

  1. bzoj1047 理想的正方形

    Description 有一个a*b的整数组成的矩阵,现请你从中找出一个n*n的正方形区域,使得该区域所有数中的最大值和最小值的差最小. Input 第一行为3个整数,分别表示a,b,n的值第二行至第 ...

  2. ES之六:ElasticSearch中Filter和Query的异同

    如下例子,查找性别是女,所在的州是PA,过滤条件是年龄是39岁,balance大于等于10000的文档: { "query": { "bool": { &quo ...

  3. jquery的load()事件和ajax中load()方法的区别

    load事件 当图像加载时,改变 div 元素的文本: $("img").load(function(){ $("div").text("Image ...

  4. 杂项:flex (adobe flex)

    ylbtech-杂项:Flex (Adobe Flex) Flex指Adobe Flex,基于其专有的Macromedia Flash平台,它是涵盖了支持RIA(Rich Internet Appli ...

  5. 正则的使用及replace细讲

    1.var reg=/./ 与 var reg=/\./的区别? .代表任意一个字符 \.而后者代表这个字符串中得有一个. 2.?的使用 如果单独的一个字符后面带? /\d?/ 代表1个或0个这个字符 ...

  6. (转)RRU交织冗余在LTE-R组网中的应用研究

    RRU交织冗余在LTE-R组网中的应用研究 王 芳1,2 庞萌萌1,2 (1.北京全路通信信号研究设计院集团有限公司,北京 100070; 2.北京市高速铁路运行控制系统工程技术研究中心,北京 100 ...

  7. 6.19-response(响应),session(会话技术,服务器端技术) 内置对象,application(内置对象),pageContext (内置对象),cookie(客户端技术)

    一.response(响应) 页面重定向 response.sendRedirect(""); 转发: request.getRequestDispatcher("&qu ...

  8. 解决php7.1的中遇到的问题

    在php7.1中部署微擎遇到问题 1.mysql_xxx函数不支持,修改install.php为mysqli的写法 2.session读取失败,不是php.ini设置的问题,应该是php7.1的bug ...

  9. Windows Storage Stack

  10. url 路由系统

    Django的路由系统 URL配置(URLconf)就像Django所支撑网站的目录.它的本质是URL与要为该URL调用的视图函数之间的映射表. 我们就是以这种方式告诉Django,遇到哪个URL的时 ...