编辑:如果我原来的帖子措辞不好,我深表歉意。这导致了一些混乱,表现为对原始帖子的评论。那么让我再试一次:
我从一个问题开始。我想解决 Android 上的问题,但不知道如何解决。我花了很多时间在网上寻找解决方案,但没有发现任何关于这个问题的讨论。尽管如此,包括 StackOverflow 线程在内的大量讨论让我发现了一种看起来很有前途的技术。我解决了这个问题。但解决方案有点复杂。所以我决定在这里发布这个问题,我想:a)一定有更好的解决方案,希望有人知道并在这里发布答案;或者b)也许这是一个很好的解决方案,并且由于我在网上其他任何地方都没有发现有关此事的讨论,也许我对问题的解决方案对于尝试做同样事情的其他人来说是有用的。无论哪种方式,结果都将是对 StackOverflow 的新贡献:一个在其他地方没有答案的问题,最终以某种方式得到正确的答案。事实上,当我最初发布问题时,StackOverflow 甚至邀请我通过分享我的知识来回答我自己的问题。事实上,这是我动机的一部分。就连我发现的任何地方都没有收集到这件事的事实。
So:
问:当使用 Android HttpClient 通过 HTTPS 发出 REST 请求时,如何指定要使用的 SSL 协议和密码?
这个很重要。很好理解的一点是,服务器上可以做很多事情,但也有限制。同一台服务器必须为浏览器(包括旧浏览器)以及其他客户端提供服务。这意味着服务器必须支持广泛的协议和密码。即使在 Android 中,如果您必须支持许多不同的版本,您也必须支持许多不同的协议和密码。
更重要的是,默认情况下,OpenSSL 尊重客户端的密码首选项,not服务器的,在 SSL 握手期间。看到这个post例如,它表示您可以通过设置 SSL_OP_CIPHER_SERVER_PREFERENCE 来覆盖客户端中的该行为。目前还不完全清楚是否可以在 Java 中的 SSLSocket 上设置此选项。即使可以,您也可以自己设置密码列表或告诉您的客户端遵守服务器的列表。否则,您将获得 Android 默认值,无论您正在运行的版本是什么(而不是您链接的版本)。
如果采用默认值,可以看到 Jellybean 4.2+ 客户端从客户端发送到服务器的首选项列表here,从第 504 行左右开始。默认协议列表从第 620 行左右开始。尽管 Jellybean 4.2+ 包含对 OpenSSL 1.0.1(特别是 TLSv1.1 和 TLSv1.2)的支持,但默认情况下不启用这些协议。如果您不执行像我所做的那样,则无法利用 TLSv1.2 支持,尽管最新版本的 Android 上已经宣传了对 TLSv1.2 的支持。当你回顾以前的 Android 版本时,细节会有很大差异。至少,您可能希望仔细查看所有受支持版本的默认设置,并了解您的客户端实际在做什么。你可能会感到惊讶。
关于对各种协议和密码的支持,您还有很多话要说。关键是,有时可能需要更改客户端中的这些设置。
A. 使用自定义 SSLSocketFactory
这对我来说效果很好,最终,代码并不多。但由于以下几个原因,这有点棘手:
- 有两个不同的 SSLSocketFactory 类。客户需要一个
org.apache.http.conn.ssl.SSLSocketFactory,但 OpenSSL 返回一个
javax.net.ssl.SSLSocketFactory。这绝对令人困惑。我用了
代表团使一个呼叫另一个,没有太大问题。
- 注意 OpenSSLContextImpl 和
SSLContextImpl。一个只是包裹另一个,但它们不是
可互换。当我使用
SSLContextImpl.engineGetSocketFactory 方法——我忘了具体是什么
发生了,但有些事情悄然失败了。请务必使用
OpenSSLContextImpl 来获取您的套接字工厂,而不是 SSLContextImpl。
您也许还可以使用
javax.net.ssl.SSLSocketFactory.getDefault(),但我不确定。
- 您不能轻松地子类化 AndroidHttpClient,因为它的构造函数是
私人的。这是不幸的,因为它提供了一些其他好的
好东西,比如确保你正确关闭它而不是
泄漏资源。 DefaultHttpClient 工作得很好。我借了
AndroidHttpClient 中的 newInstance 方法(大约第 105 行)。
要点:
public class SecureSocketFactory extends SSLSocketFactory {
@Override
public Socket createSocket(Socket s, String host, int port, boolean autoClose) throws IOException {
// order should not matter here; the server should select the highest
// one from this list that it supports
s.setEnabledProtocols(new String[] { "TLSv1.2", "TLSv1" });
// order matters here; specify in preference order
s.setEnabledCipherSuites(new String[] { "ECDHE-RSA-RC4-SHA", "RC4-SHA" });
Then:
// when creating client
HttpParams params;
SchemeRegistry schemeRegistry = new SchemeRegistry();
// use custom socket factory for https
SSLSocketFactory sf = new SecureSocketFactory();
schemeRegistry.register(new Scheme("https", sf, 443));
// use the default for http
schemeRegistry.register(new Scheme("http",
PlainSocketFactory.getSocketFactory(), 80));
ClientConnectionManager manager =
new ThreadSafeClientConnManager(params, schemeRegistry);
HttpClient client = new DefaultHttpClient(manager, params);
在 Android 3.0 (Honeycomb/SDK 11) 以下,支持的密码选择变得更加有限,并且覆盖默认值的动机也较小。在 FROYO/SDK 8 上,我的 SecureSocketFactory 由于某种原因崩溃了,对于 10 还没有定论。但它似乎适用于 11 以上。
完整的解决方案位于公共 github 中repo.
另一种解决方案可能是使用 HttpsUrlConnection,这使得使用自定义套接字工厂变得容易,但我想您可能会失去高级 HTTP 客户端的更多便利。我对 HttpsUrlConnection 没有任何经验。