Android开发 - Retrofit 2 使用自签名的HTTPS证书进行API请求

为了确保数据传输的安全，现在越来越多的应用使用Https的方式来进行数据传输，使用https有很多有点，比如：

HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，要比http协议安全，可防止数据在传输过程中不被窃取、改变，确保数据的完整性。
HTTPS是现行架构下最安全的解决方案，虽然不是绝对安全，但它大幅增加了中间人攻击的成本。

但是即使使用HTTPS有很多有点，但是购买一个认证的HTTPS证书却价格不菲，增加了初创企业和小团队的开发成本。而且如上面所说，使用HTTPS并非绝对的安全，传输的数据并非没有办法获取到，我的之前一篇博客所使用的方法已成功截取HTTPS的数据传输。有兴趣的可以参考：使用Charles对Android App的https请求进行抓包。

为了节约成本，我们可以选择使用自签名的HTTPS。

这种方式我们可以自己生成证书，不需要购买证书，但是使用这种方式的域名如果在浏览器中访问的话，会有一个不安全的标识。但是如果用在客户端上，就不会有这个问题，现在一些应用商店也要求APP上架时需要使用HTTPS的网络请求（比如AppStore）,使用这种自签名的HTTPS同样也能过审。

本文我们介绍在Android上使用网络请求框架Retrofit 2来请求自签名的API，关于如何生成HTTPS证书，我们将在另一篇博客中进行说明，敬请期待。或者您可以自行查找相关资料。

配置证书

比如我们生成的SLL证书文件为"api_ssl_debug.cer"，我们将其放到assets目录下。这样在配置Retrofit的时候就可以读取该证书并用于API请求中。

配置Retrofit

本节我们介绍SSL证书在Retrofit中的配置，首先我们要定义两个方法用来读取证书，然后讲该证书用于Retrofit中。

读取证书内容到KeyStore中

    private static KeyStore getKeyStore(String fileName) {

        KeyStore keyStore = null;

        try {

            AssetManager assetManager = Utils.getApp().getAssets();

            CertificateFactory cf = CertificateFactory.getInstance("X.509");

            InputStream caInput = assetManager.open(fileName);

            Certificate ca;

            try {

                ca = cf.generateCertificate(caInput);

                Log.d("SslUtils", "ca=" + ((X509Certificate) ca).getSubjectDN());

            } finally {

                caInput.close();

            }

            String keyStoreType = KeyStore.getDefaultType();

            keyStore = KeyStore.getInstance(keyStoreType);

            keyStore.load(null, null);

            keyStore.setCertificateEntry("ca", ca);

        } catch (Exception e) {

            Log.e("SslUtils", "Error during getting keystore", e);

        }

        return keyStore;

    }

生成SSLContext以便用于Retrofit的配置中

    public static SSLContext getSslContextForCertificateFile(String fileName) {

        try {

            KeyStore keyStore = SslUtils.getKeyStore(fileName);

            SSLContext sslContext = SSLContext.getInstance("SSL");

            TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());

            trustManagerFactory.init(keyStore);

            sslContext.init(null, trustManagerFactory.getTrustManagers(), new SecureRandom());

            return sslContext;

        } catch (Exception e) {

            String msg = "Error during creating SslContext for certificate from assets";

            Log.e("SslUtils", msg, e);

            throw new RuntimeException(msg);

        }

    }

配置Retrofit

SSLContext sslContext = SslUtils.getSslContextForCertificateFile("api_ssl_debug.cer");

TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(

                TrustManagerFactory.getDefaultAlgorithm());

trustManagerFactory.init((KeyStore) null);

TrustManager[] trustManagers = trustManagerFactory.getTrustManagers();

if (trustManagers.length != 1 || !(trustManagers[0] instanceof X509TrustManager)) {

    throw new IllegalStateException("Unexpected default trust managers:"

                    + Arrays.toString(trustManagers));

}

X509TrustManager trustManager = (X509TrustManager) trustManagers[0];

OkHttpClient.Builder builder = new OkHttpClient.Builder()

                ...

                .sslSocketFactory(sslContext.getSocketFactory(), trustManager)

                .hostnameVerifier((hostname, session) -> true)

                ...

mRetrofit = new Retrofit.Builder()

                ...

                build();

以上的省略号为Retrofit的其它配置，可以根据工程需要进行配置。

总结

至此，使用Retrofit就可以进行自签名的HTTPS的网络请求了，当然，服务器端的API配置也需要进行HTTPS的配置，我将在服务端相关的博客进行介绍，还有一点，如果请求的域名指定了端口，要将端口设置为443。如果没有指定端口，请求时也会自动走443端口。

本文原始地址，如有更多疑问，请参考我的其它Android相关博客：我的博客地址