编辑:如果我原来的帖子措辞不当,我深表歉意。它导致了一些困惑,以对原始帖子的评论为代表。那么让我再试一次:
我从一个问题开始。我想在 Android 上解决一个问题,但不知道如何解决。我花了很多时间在网上寻找解决方案,但在任何地方都没有找到有关此事的讨论。尽管如此,许多讨论,包括 StackOverflow 线程,让我找到了一种看起来很有前途的技术。我解决了这个问题。但解决方案有点复杂。所以我决定在这里发布问题,认为 a) 必须有更好的解决方案,希望有人知道并在这里发布答案;或者 b) 也许这是一个很好的解决方案,而且由于我在网络上的其他任何地方都没有发现有关此事的讨论,因此我对问题的解决方案可能对其尝试做同样事情的其他人有用。无论哪种方式,结果都将是对 StackOverflow 的新贡献:一个在其他地方无法回答的问题,最终以一种或另一种方式得到正确答案。事实上,StackOverflow 甚至在我最初发布时邀请我通过分享我的知识来回答我自己的问题。事实上,那是我动机的一部分。甚至在我发现的任何地方都没有收集到这件事的事实。
所以:
问:使用 AndroidHttpClient 通过 HTTPS 发出 REST 请求时,如何指定要使用的 SSL 协议(protocol)和密码?
这个很重要。在服务器上可以做很多事情是很好的观点,但也有限制。同一台服务器必须为浏览器(包括旧浏览器)以及其他客户端提供服务。这意味着服务器必须支持广泛的协议(protocol)和密码。即使在 Android 中,如果您必须支持许多不同的版本,您将不得不支持许多不同的协议(protocol)和密码。
更重要的是,默认情况下,OpenSSL 在 SSL 握手期间尊重客户端的密码首选项,而不是服务器的密码首选项。看到这个 post ,例如,它表示您可以通过设置 SSL_OP_CIPHER_SERVER_PREFERENCE 在客户端中覆盖该行为。是否甚至可以在 Java 中的 SSLSocket 上设置此选项尚不完全清楚。即使可以,您也可以自己设置密码列表或告诉您的客户端遵守服务器的列表。否则,您将获得 Android 默认值,无论您运行的版本可能是什么(而不是您链接的版本)。
如果采用默认值,则可以看到客户端通过 Jellybean 4.2+ 客户端发送到服务器的首选项列表 here ,从第 504 行开始。默认的协议(protocol)列表从第 620 行开始。虽然 Jellybean 4.2+ 包括对 OpenSSL 1.0.1 的支持,特别是 TLSv1.1 和 TLSv1.2,但这些协议(protocol)默认情况下未启用。如果你不做我做过的事情,你就不能利用 TLSv1.2 支持,尽管在最新版本的 Android 上宣传了对 TLSv1.2 的支持。当您回顾以前的 Android 版本时,细节会有很大差异。至少,您可能希望仔细查看所有支持版本的默认设置,看看您的客户端实际在做什么。你可能会感到惊讶。
关于对各种协议(protocol)和密码的支持,您还有很多话要说。关键是,有时可能需要更改客户端中的这些设置。
A. 使用自定义 SSLSocketFactory
这对我来说效果很好,最后,它不是很多代码。但由于以下几个原因,它有点棘手:
org.apache.http.conn.ssl.SSLSocketFactory,但 OpenSSL 返回一个
javax.net.ssl.SSLSocketFactory。这绝对是令人困惑的。我用了
代表团让一个调用另一个,没有太大问题。
SSLContextImpl.一个只是包裹另一个,但它们不是
可互换。当我使用
SSLContextImpl.engineGetSocketFactory 方法——我忘了具体是什么
发生了,但有些事情悄悄地失败了。请务必使用
OpenSSLContextImpl 来获取您的套接字工厂,而不是 SSLContextImpl。
您也许还可以使用
javax.net.ssl.SSLSocketFactory.getDefault(),但我不确定。
私有(private)的。这是不幸的,因为它提供了一些其他好的
好东西,比如确保你正确关闭它而不是
泄漏资源。 DefaultHttpClient 工作得很好。我借了
来自 AndroidHttpClient 的 newInstance 方法(第 105 行左右)。
关键点:
public class SecureSocketFactory extends SSLSocketFactory {
@Override
public Socket createSocket(Socket s, String host, int port, boolean autoClose) throws IOException {
// order should not matter here; the server should select the highest
// one from this list that it supports
s.setEnabledProtocols(new String[] { "TLSv1.2", "TLSv1" });
// order matters here; specify in preference order
s.setEnabledCipherSuites(new String[] { "ECDHE-RSA-RC4-SHA", "RC4-SHA" });
然后:
// when creating client
HttpParams params;
SchemeRegistry schemeRegistry = new SchemeRegistry();
// use custom socket factory for https
SSLSocketFactory sf = new SecureSocketFactory();
schemeRegistry.register(new Scheme("https", sf, 443));
// use the default for http
schemeRegistry.register(new Scheme("http",
PlainSocketFactory.getSocketFactory(), 80));
ClientConnectionManager manager =
new ThreadSafeClientConnManager(params, schemeRegistry);
HttpClient client = new DefaultHttpClient(manager, params);
在 Android 3.0(Honeycomb/SDK 11)以下,支持的密码选择变得更加有限,并且没有动力去覆盖默认值。在 FROYO/SDK 8 上,由于某种原因,我的 SecureSocketFactory 崩溃了,陪审团在 10 上被淘汰。但它似乎在 11 向上工作就好了。
完整的解决方案在公共(public) github repo .
另一种解决方案可能是使用 HttpsUrlConnection,这样可以轻松使用自定义套接字工厂,但我想您可能会失去高级 HTTP 客户端的更多便利。我对 HttpsUrlConnection 没有任何经验。
最佳答案
When using the AndroidHttpClient to make REST requests via HTTPS, how can I specify which SSL protocols and ciphers to use?
我不相信你能用
AndroidHttpClient
做到这一点.我为加强 channel 所做的一切(如密码列表、证书固定和公钥固定)都需要在某处自定义类,无论是 SSLSocketFactory
或 X509TrustManager
.那是Java,那是Android。见 How to override the cipherlist sent to the server by Android when using HttpsURLConnection? .
关于java - 使用 AndroidHttpClient 的 SSL/TLS 协议(protocol)和密码套件,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18523784/