‘壹’ Google I/O 2016 上发布的 android N 有哪些新特性
1.多窗口支持
在 Android N 中,我们为该平台引入了一个新的而且非常需要的多任务处理功能 — 多窗口支持。
现在,用户可以一次在屏幕上打开两个APP。
在运行 Android N 的手机和平板电脑上,用户可以并排运行两个APP,或者处于分屏模式时一个APP位于另一个APP之上。用户可以通过拖动两个APP之间的分隔线来调整APP。
在 Android TV 设备上,APP可以将自身置于画中画面模式,从而让它们可以在用户浏览或与其他APP交互时继续显示内容。如需了解详细信息,请参阅下文。
多窗口支持为您提供新的吸引用户方式,特别是在平板电脑和其他更大屏幕的设备上。您甚至可以在您的APP中启用拖放,从而使用户可以方便地将内容拖放到您的应用或从其中拖出内容—这是一个非常好的增强用户体验的方式。
向您的APP添加多窗口支持并配置多窗口显示的处理方式非常简单。例如,您可以指定您的 Activity 允许的最小尺寸,从而防止用户将 Activity 调整到该尺寸以下。您还可以为APP禁用多窗口显示,这可确保系统将仅以全屏模式显示APP。
如需了解详细信息,请参阅多窗口支持开发者文档。
2.Notification 增强功能
在 Android N 中,我们重新设计了Notification,使其更易于使用并且速度更快。部分变更包括:
- 模板更新:我们正在更新Notification模板,新强调了图片跟头像。开发者将能够充分利用新模板,只需进行少量的代码调整。
- 绑定的Notification:系统可以将消息组合在一起(例如,按消息主题)并显示组。用户可以适当地进行 Dismiss 或 Archive 等操作。如果您已实现 Android Wear 的通知,那么您已经很熟悉此模型。
- 直接回复:对于实时通信应用,Android 系统支持内联回复,以便用户可以直接在通知界面中快速回复短信。
- 自定义视图:两个新的 API 让您在通知中使用自定义视图时可以充分利用系统的风格,如Notification标题和操作。
如需了解如何实现新功能的信息,请参阅通知指南。
2.配置文件指导的 JIT/AOT 编译
在 Android N 中,我们添加了 Just in Time (JIT) 编译器,对 ART 进行代码分析,让它可以在应用运行时持续提升 Android 应用的性能。JIT 编译器对 Android 运行组件当前的 Ahead of Time (AOT) 编译器进行了补充,有助于提升运行时性能,节省存储空间,加快应用更新和系统更新速度。
配置文件指导的编译让 Android 运行组件能够根据应用的实际使用以及设备上的情况管理每个应用的 AOT/JIT 编译。例如,Android 运行组件维护每个应用的热方法的配置文件,并且可以预编译和缓存这些方法以实现最佳性能。对于应用的其他部分,在实际使用之前不会进行编译。
除提升应用的关键部分的性能外,配置文件指导的编译还有助于减少整个 RAM 占用,包括关联的二进制文件。此功能对于低内存设备非常尤其重要。
Android 运行组件在管理配置文件指导的编译时,可最大程度降低对设备电池的影响。仅当设备处于空闲状态和充电时才进行编译,从而可以通过提前执行该工作节约时间和省电。
3.快速的应用安装路径
Android 运行组件的 JIT 编译器最实际的好处之一是应用安装和系统更新的速度。即使在 Android 6.0 中需要几分钟进行优化和安装的大型应用,现在只需几秒钟就可以完成安装。系统更新也变得更快,因为省去了优化步骤。
4.瞌睡模式
Android 6.0 推出了瞌睡模式,即设备处于空闲状态时,通过推迟应用的 CPU 和网络活动以实现省电目的的系统模式,例如,设备放在桌上或抽屉里时。
现在,在 Android N 中,瞌睡模式又前进了一步,在外出时也可以省电。只要屏幕关闭了一段时间,且设备未插入电源,瞌睡模式就会对应用使用熟悉的 CPU 和网络限制。这意味着用户即使将设备放入口袋里也可以省电。
屏幕关闭片刻后,设备在使用电池时,瞌睡模式将限制网络访问,同时延迟作业和同步。在短暂的维护时间范围后,其允许应用访问网络,并执行延迟的作业/同步。打开屏幕或将设备插入电源会使设备退出瞌睡模式。
当设备再次处于静止状态时,屏幕关闭且使用电池一段时间,瞌睡模式针对 PowerManager.WakeLock,AlarmManager 警报和 GPS/Wi-Fi 扫描应用完整 CPU 和网络限制。
无论设备是否处于运动状态,将应用调整到瞌睡模式的最佳做法均相同,因此,如果您已更新应用以妥善处理瞌睡模式,则一切就绪。如果不是,请立即开始将应用调整到瞌睡模式。
5.Project Svelte:后台优化
Project Svelte 在持续改善,以最大程度减少生态系统中一系列 Android 设备中系统和应用使用的 RAM。在 Android N 中,Project Svelte 注重优化在后台中运行应用的方式。
后台处理是大多数应用的一个重要部分。处理得当,可让您实现非常棒的用户体验 — 即时、快速和情境感知。如果处理不得当,后台处理会毫无必要地消耗 RAM(和电池),同时影响其他应用的系统性能。
自 Android 5.0 发布以来,JobScheler 已成为执行后台工作的首选方式,其工作方式有利于用户。应用可以在安排作业的同时允许系统基于内存、电源和连接情况进行优化。JobScheler 可实现控制和简洁性,我们想要所有应用都使用它。
另一个非常好的选择是 GCMNetworkManager(Google Play 服务的一部分),其在旧版 Android 中提供类似的作业安排和兼容性。
我们在继续扩展 JobScheler 和 GCMNetworkManager,以符合多个用例 — 例如,在 Android N 中,现在,您可以基于内容提供程序中的更改安排后台工作。同时,我们开始弃用一些较旧的模式,这些模式会降低系统性能,特别是低内存设备的系统性能。
在 Android N 中,我们删除了三个常用隐式广播 — CONNECTIVITY_ACTION、ACTION_NEW_PICTURE 和 ACTION_NEW_VIDEO — 因为这些广播可能会一次唤醒多个应用的后台进程,同时会耗尽内存和电池。如果您的应用收到这些广播,请充分利用 N Developer Preview 以迁移到 JobScheler 和相关的 API。
如需了解详情,请查看后台优化文档。
6.Data Saver
在移动设备的整个生命周期,蜂窝数据计划的成本通常会超出设备本身的成本。对于许多用户而言,蜂窝数据是他们想要节省的昂贵资源。
Android N 推出了 Data Saver 模式,这是一项新的系统服务,有助于减少应用使用的蜂窝数据,无论是在漫游,账单周期即将结束,还是使用少量的预付费数据包。Data Saver 让用户可以控制应用使用蜂窝数据的方式,同时让开发者打开 Data Saver 时可以提供更多有效的服务。
用户在 Settings 中启用 Data Saver 且设备位于按流量计费的网络上时,系统屏蔽后台数据使用,同时指示应用在前台尽可能使用较少的数据 — 例如,通过限制用于流媒体服务的比特率、降低图片质量、延迟最佳的预缓冲等方法来实现。用户可以将特定应用加入白名单以允许后台按流量的数据使用,即使在打开 Data Saver 时也是如此。
Android N 继承了 ConnectivityManager,以便为应用检索用户的 Data Saver 首选项并监控首选项变更提供一种方式。所有应用均应检查用户是否已启用 Data Saver 并努力限制前台和后台数据的使用。
7.快速设置Tile API
“快速设置”通常用于直接从通知栏显示关键设置和操作,非常简单。在 Android N 中,我们已扩展“快速设置”的范围,使其更加有用更方便。
我们为额外的“快速设置”Tile添加了更多空间,用户可以通过向左或向右滑动跨分页的显示区域访问它们。我们还让用户可以控制显示哪些“快速设置”Tile以及显示的位置 — 用户可以通过拖放Tile来添加或移动Tile。
对于开发者,Android N 还添加了一个新的 API,从而让您可以定义自己的“快速设置”Tile,使用户可以轻松访问您应用中的关键控件和操作。
对于急需或频繁使用的控件和操作,保留“快速设置”Tile,且不应将其用作启动应用的快捷方式。
定义Tile后,您可以将它们显示给用户,用户可通过拖放将Tile添加到“快速设置”。
如需创建应用Tile的更多信息,请参阅可下载的 API 参考中的 android.service.quicksettings.Tile。
8.号码屏蔽
Android N 现在支持在平台中进行号码屏蔽,提供框架 API,让服务提供商可以维护屏蔽的号码列表。默认短信应用、默认手机应用和提供商应用可以对屏蔽的号码列表进行读取和写入操作。其他应用则无法访问此列表。
通过使号码屏蔽成为平台的标准功能,Android 为应用提供一致的方式来支持广泛的设备上的号码屏蔽。应用可以利用的其他优势包括:
- 还会屏蔽已屏蔽的来电号码发出的短信
- 通过 Backup & Restore(备份和还原)功能可以跨重置和设备保留屏蔽的号码
- 多个应用可以使用相同的屏蔽号码列表
此外,通过 Android 的运营商应用集成表示运营商可以读取设备上屏蔽的号码列表,并为用户执行服务端屏蔽,以阻止不需要的来电和短信通过任何介质(如 VOIP 端点或转接电话)到达用户。
如需了解详细信息,请参阅可下载的 API 参考中的 android.provider.BlockedNumberContract。
9.来电过滤
Android N 允许默认的手机应用过滤来电。手机应用执行此操作的方式是实现新的 CallScreeningService,该方法允许手机应用基于来电的 Call.Details 执行大量操作,例如:
- 拒绝来电
- 不允许来电到达呼叫日志
- 不向用户显示来电通知
如需了解详细信息,请参阅可下载的 API 参考中的 android.telecom.CallScreeningService。
10.多区域设置支持、多语言
Android N 现在允许用户在设置中选择多个区域设置,以更好地支持双语用例。应用可以使用新的 API 获取用户选择的区域设置,然后为多区域设置用户提供更成熟的用户体验 — 如以多个语言显示搜索结果,并且不会以用户了解的语言翻译网页。
除多区域设置支持外,Android N 还扩展了用户可用的语言范围。它针对常用语言提供超过 25 种的变体,如英语、西班牙语、法语和阿拉伯语。它还针对 100 多种新语言添加了部分支持。
应用可以通过调用 LocaleList.GetDefault() 获取用户设置的区域设置列表。为支持扩展的区域设置数量,Android N 正在改变其解析资源的方式。请务必使用新的资源解析逻辑测试和验证您的应用是否能如期运行。
如需有关新资源解析行为和应遵循的最佳做法的更多信息,请参阅多语言支持。
11.Android 中的 ICU4J API
Android N 目前在 Android 框架(位于 android.icu 软件包下)中提供 ICU4J API 的子集。迁移很简单,主要是需要从 com.java.icu 命名空间更改为 android.icu。如果您已在您的应用中使用 ICU4J 捆绑包,切换到 Android 框架中提供的 android.icu API 可以大量节省 APK 大小。
如果要了解有关 Android ICU4J API 的更多信息,请参阅 ICU4J 支持。
12.OpenGL™ ES 3.2 API
Android N 添加了框架接口和对 OpenGL ES 3.2 的平台支持,包括:
- 来自 Android 扩展包 (AEP) 的所有扩展(EXT_texture_sRGB_decode 除外)。
- 针对 HDR 的浮点帧缓冲和延迟着色。
- BaseVertex 绘图调用可实现更好的批处理和流媒体服务。
- 强大的缓冲区访问控制可减少 WebGL 开销。
Android N 上适用于 OpenGL ES 3.2 的框架 API 与 GLES32 类一起提供。使用 OpenGL ES 3.2 时,请务必通过 标记和 android:glEsVersion 属性在您的清单文件中声明要求。
如需了解有关使用 OpenGL ES 的信息,包括如何在运行时检查设备支持的 OpenGL ES 版本,请参阅 OpenGL ES API 指南。
13.Android TV 录制
Android N 通过新的录制 API 添加了从 Android TV 输入服务录制和播放内容的功能。构建在现有时移 API 之上,TV 输入服务可以控制能够录制的渠道数据、保存录制的会话的方式,同时可通过录制的内容管理用户交互。
如需了解详细信息,请参阅 Android TV 录制 API。
14.Android for Work
Android for Work 针对运行 Android N 的设备添加了许多新功能和 API。部分重要内容如下— 有关与 Android N 相关的 Android for Work 更新的完整列表,请参阅 Android for Work 变更。
15.关闭工作
在具有托管配置文件的设备上,用户可以切换工作模式。工作模式关闭时,管理的用户临时关闭,其禁用托管配置文件应用、后台同步和通知。这包括配置文件所有者应用。关闭工作模式时,系统显示永久状态图标,以提醒用户他们无法启动工作应用。启动器指示该工作应用和小组件无法访问。
16.Always on VPN
设备所有者和配置文件所有者可以确保工作应用始终通过指定的 VPN 连接。系统在设备启动后自动启动该 VPN。
新的 DevicePolicyManager 方法为 setAlwaysOnVpnPackage() 和 getAlwaysOnVpnPackage()。
由于 VPN 服务无需应用交互即可由系统直接绑定,因此,VPN 客户端必须针对 Always on VPN 处理新的入口点。和以前一样,由与操作匹配的 Intent 过滤器将服务指示给系统。android.net.VpnService。
用户还可以使用 Settings>More>Vpn 在主要用户中手动设置实现 VPNService 方法的 Always on VPN 客户端。
17.辅助工具增强功能
Android N 现在针对新的设备设置直接在欢迎屏幕上提供“Vision Settings”。这使用户可以更容易发现和配置他们设备上的辅助工具功能,包括放大手势、字体大小、显示屏尺寸和 TalkBack。
随着这些辅助工具功能更为突出,在启用这些功能后,您的用户更可能试用您的应用。请务必提前启用这些设置测试您的应用。您可以通过 Settings > Accessibility 启用它们。
还是在 Android N 中,辅助工具服务现在可以帮助具有动作障碍的用户触摸屏幕。全新的 API 允许使用人脸追踪、眼球追踪、点扫描等功能构建服务,以满足这些用户的需求。
如需了解详细信息,请参阅可下载的 API 参考 中的 android.accessibilityservice.GestureDescription
18.直接启动
直接启动可以缩短设备启动时间,让注册的应用具有有限的功能,即使在意外重启后。例如,如果当用户睡觉时加密的设备重启,那么注册的警报、消息和来电现在可以和往常一样继续通知用户。这也意味着重启后辅助工具服务会立即可用。
在 Android N 中,直接启动充分利用基于文件的加密,以针对系统和应用数据启用细化的加密策略。为系统和应用数据。系统针对选定的系统数据和显式注册的应用数据使用设备加密的存储。默认情况下,凭据加密的存储可用于所有其他系统数据、用户数据、应用及应用数据。
启动时,系统在受限的模式中启动,仅访问设备加密的数据,不会对应用或数据进行常规访问。如果您有想要在此模式下运行的组件,您可以通过在清单文件中设置标记注册它们。重启后,系统通过广播 LOCKED_BOOT_COMPLETED Intent 激活注册的组件。系统确保注册的设备加密的应用数据在解锁前可用。所有其他数据在用户确认锁定屏幕凭据进行解密前均不可用。
如需了解详细信息,请参阅直接启动。
19.密钥认证
使用硬件支持的密钥库,可更安全地在 Android 设备上创建、存储和使用加密密钥。它们可保护密钥免受 Linux 内核、潜在的 Android 漏洞的攻击,也可防止从已取得 root 权限的设备提取密钥。
为了让硬件支持的密钥库使用起来更简单和更安全,Android N 引入了密钥认证。应用和关闭的设备可使用密钥认证以坚决地确定 RSA 或 EC 密钥对是否受硬件支持、密钥对的属性如何,以及其使用和有效性有何限制。
应用和关闭的设备服务可以通过 X.509 认证证书(必须由有效的认证密钥签署)请求有关密钥对的信息。认证密钥是一个 ECDSA 签署密钥,其在出厂时被注入设备的硬件支持的密钥库。因此,有效的认证密钥签署的认证证书可确认硬件支持的密钥库是否存在,以及该密钥库中密钥对的详细信息。
为确保设备使用安全的官方 Android 出厂映像,密钥认证要求设备 bootloader 向可信执行环境 (TEE) 提供以下信息:
设备上安装的操作系统版本和补丁级别
验证的启动公钥和锁定状态。
如需了解有关硬件支持的密钥库功能的详细信息,请参阅硬件支持的密钥库指南。
除密钥认证外,Android N 还推出了指纹绑定密钥,在指纹注册时不会撤销。
20.网络安全性配置
在 Android N 中,通过使用说明性网络安全性配置(而不是使用传统的易出错的编程 API(例如,X509TrustManager)),应用可以安全地自定义其安全(HTTPS、TLS)连接的行为,无需任何代码修改。
支持的功能:
自定义信任锚。让应用可以针对其安全连接自定义哪些证书颁发机构 (CA) 受信任。例如,信任特定的自签署证书或受限的公共 CA 集。
仅调试重写。让应用开发者可以安全调试其应用的安全连接,而不会增加安装基础的风险。
明文流量退出。让应用可以防止自身意外使用明文流量。
固定证书。这是一项高级功能,让应用可以针对安全连接限制哪些服务器密钥受信任。
如需了解详细信息,请参阅网络安全性配置。
21.默认受信任的证书颁发机构
默认情况下,针对 Android N 的应用仅信任系统提供的证书,且不再信任用户添加的证书颁发机构 (CA)。如果针对 Android N 的应用希望信任用户添加的 CA,则应使用网络安全性配置以指定信任用户 CA 的方式。
22.APK signature scheme v2
PackageManager 类现在支持使用 APK signature scheme v2 验证应用。APK signature scheme v2 是一个整个文件签名架构,通过检测对 APK 文件进行的任何未经授权更改,可大幅提高验证速度,同时也可加强完整性保证。
为保持向后兼容,在使用 v2 签名架构签署之前,APK 必须先使用 v1 签名架构(JAR 签名架构)签署。对于 v2 签名架构,如果在使用 v2 架构签署后使用额外的证书签署 APK,验证将失败。
APK signature scheme v2 支持稍后将在 N Developer Preview中推出。
23.作用域目录访问
在 Android N 中,应用可以使用新的 API 请求访问特定的外部存储目录,包括可移动媒体上的目录,如 SD 卡。新 API 大大简化了应用访问标准外部存储目录的方式,如 Pictures 目录。应用(如照片应用)可以使用这些 API(而不是使用 READ_EXTERNAL_STORAGE),其授予所有存储目录的访问权限或存储访问框架,从而让用户可以导航到目录。
此外,新的 API 简化了用户向应用授予外部存储访问权限的步骤。当您使用新的 API 时,系统使用一个简单的权限 UI,其清楚地详细介绍应用正在请求访问的目录。
‘贰’ android根据url获取网络图片报错
这个看着是https协议的URL,用普通的http请求就报错了,我这里只有请求https到流的代码,给你先看看,把流再转成文件 就可以了
@SuppressLint("ParserError")
(StringdownUrl,StringpostStr)throwsIOException{
Stringres="";
HttpsURLConnection.setDefaultHostnameVerifier(newNullHostNameVerifier());
SSLContextcontext=null;
try{
context=SSLContext.getInstance("TLS");
}catch(NoSuchAlgorithmExceptione1){
//TODOAuto-generatedcatchblock
e1.printStackTrace();
}
try{
context.init(null,newX509TrustManager[]{newmyX509TrustManager()},newSecureRandom());
}catch(KeyManagementExceptione1){
//TODOAuto-generatedcatchblock
e1.printStackTrace();
}
HttpsURLConnection.setDefaultSSLSocketFactory(context.getSocketFactory());
URLdUrl=newURL(downUrl);
HttpsURLConnectiondConn=(HttpsURLConnection)dUrl.openConnection();
dConn.setDoInput(true);
if(postStr!=""){
dConn.setDoOutput(true);
dConn.setRequestMethod("POST");
}
dConn.connect();
if(postStr!=""){
try{
BufferedWriterout=newBufferedWriter(newOutputStreamWriter(
dConn.getOutputStream()));
out.write(postStr);
out.flush();
}catch(Exceptione){
StringerrMsg=e.getMessage();
if(null!=errMsg){
Toasttoast=Toast.makeText(null,errMsg,Toast.LENGTH_LONG);
toast.show();
}
e.printStackTrace();
}
}
BufferedInputStreamin=newBufferedInputStream(dConn.getInputStream());
returnin;
}
{
@Override
publicbooleanverify(Stringhostname,SSLSessionsession){
//Log.i("RestUtilImpl","Approvingcertificatefor"+hostname);
returntrue;
}
}
{
@Override
publicX509Certificate[]getAcceptedIssuers(){
returnnull;
}
@Override
publicvoidcheckClientTrusted(X509Certificate[]chain,StringauthType)
throwsCertificateException{
//TODOAuto-generatedmethodstub
}
@Override
publicvoidcheckServerTrusted(X509Certificate[]chain,StringauthType)
throwsCertificateException{
//TODOAuto-generatedmethodstub
}
}
‘叁’ android https timeout 缺省值
android https timeout 缺省值如下
android https timeout new HostnameVerifier() {undefined@Overridepublic boolean verifycertificates, InputStream bksFile, String password){undefinedtry{undefinedTrustManager[] trustManagers = prepareTrustManager(certificates);
KeyManager[] keyManagers = prepareKeyManager(bksFile, password);
SSLContext sslContext = SSLContext.getInstance("TLS");TrustManager trustManager = null;if (trustManagers != null){undefinedtrustManager = new MyTrustManager(chooseTrustManager(trustManagers));} else{undefinedtrustManager = new UnSafeTrustManager();@Overridepublic void checkServerTrusted(X509Certificate[] chain, String authType)throws CertificateException{}@Override
‘肆’ android 基于okHttpClient开发https自签名请求
那么安卓需要怎么配置才能支持https请求呢?
app网络采用的是retrofit2.0版本
命名文件并且导入到Android studio项目的value/raw目录下,命名为your_cer.cer
注意点:浏览器一把锁的图标是绿色的,说明是有第三方机构服务器认证的,这类的https请求在客户端不需要配置也可以访问,但配置了也不会出错。所以文章标题给出的是解决 【自签名】 的证书问题
HttpsTrustManager类:关键https配置
1、服务端的配置。 采用HTTPS协议的服务器必须要有一套数字证书,可以自己制作,也可以向组织申请。区别就是自己颁发的证书需要客户端验证通过,才可以继续访问,而使用受信任的公司申请的证书则不会弹出提示页面(startssl就是个不错的选择,有1年的免费服务)。这套证书其实就是一对公钥和私钥。如果对公钥和私钥不太理解,可以想象成一把钥匙和一个锁头,只是全世界只有你一个人有这把钥匙,你可以把锁头给别人,别人可以用这个锁把重要的东西锁起来,然后发给你,因为只有你一个人有这把钥匙,所以只有你才能看到被这把锁锁起来的东西。
2、传送证书。 这个证书其实就是公钥,只是包含了很多信息,如证书的颁发机构,过期时间等等。
3、客户端解析证书。 这部分工作是有客户端的TLS来完成的,首先会验证公钥是否有效,比如颁发机构,过期时间等等,如果发现异常,则会弹出一个警告框,提示证书存在问题。如果证书没有问题,那么就生成一个随机值。然后用证书对该随机值进行加密。就好像上面说的,把随机值用锁头锁起来,这样除非有钥匙,不然看不到被锁住的内容。
4、传送加密信息。 这部分传送的是用 证书 加密后的随机值,目的就是让服务端得到这个随机值,以后客户端和服务端的通信就可以通过这个随机值来进行加密解密了。
5、服务段解密信息。 服务端用私钥解密后,得到了客户端传过来的随机值(私钥),然后把内容通过该值进行对称加密。所谓对称加密就是,将信息和私钥通过某种算法混合在一起,这样除非知道私钥,不然无法获取内容,而正好客户端和服务端都知道这个私钥,所以只要加密算法够彪悍,私钥够复杂,数据就够安全。
6、传输加密后的信息。 这部分信息是服务段用私钥加密后的信息,可以在客户端被还原。
7、客户端解密信息。 客户端用之前生成的私钥解密服务段传过来的信息,于是获取了解密后的内容。整个过程第三方即使监听到了数据,也束手无策。
‘伍’ 如何访问一个SSL连接通过Android的
在用Android平台上使用SSL,需要三步:
第一步 生成证书
1. 生成服务器端的证书
keytool-genkey-aliastest-keystoretest.jks
2. 将keystore中的cert导出来,用来生成客户端的验证证书
keytool-exportcert-aliastest-filetest.cert-keystoretest.jks
3. 生成Android平台的证书
因为Android 要求要BC证书,而Java的keytool本身不提供BKS格式,因此要自己
手动配置。个人在配置的过程到了文件正在使用中,保存失败的情况,我的做法是将
文件备份一下,用unlocker删除后将修改好备份放到原位置就好了。方法如下:
(1)下载bcprov-ext-jdk15on-146.jar
可以选择到官网,也可以到我上传好的文件去下载,注意,用最新的149版本的会
有证书版本号不对的异常,改用146的则没有这个问题
(2) 配置bcprov
在jdk_homejrelibsecurity目录中找到java.security 在内容增加一行(数字
可以自己定义)
security.provider.11=org.bouncycastle.jce.provider.BouncyCastleProvider
(3) 生成android平台的证书
keytool-importcert-keystoretest.bks-filetest.cert-storetypeBKS-providerorg.bouncycastle.jce.provider.BouncyCastleProvider
第二步 编写服务器代码(主要代码如下)
importjava.io.BufferedInputStream;
importjava.io.FileNotFoundException;
importjava.io.IOException;
importjava.io.InputStream;
importjava.io.ObjectInputStream;
importjava.io.ObjectOutputStream;
importjava.net.ServerSocket;
importjava.net.Socket;
importjava.net.SocketAddress;
importjava.security.KeyManagementException;
importjava.security.KeyStore;
importjava.security.KeyStoreException;
importjava.security.NoSuchAlgorithmException;
importjava.security.UnrecoverableKeyException;
importjava.security.cert.CertificateException;
importjavax.net.ServerSocketFactory;
importjavax.net.ssl.KeyManager;
importjavax.net.ssl.KeyManagerFactory;
importjavax.net.ssl.SSLContext;
/**
*@TODOjava线程开发之四SSL加密
*开发步骤
*1.生成服务端密钥
*2.导出服务端证书
*3.生成客户端密钥
*4.程序开发测试
*参考资料:http://chrui.iteye.com/blog/1018778
*@version1.0
*@date2013-5-723:22:45
*@update2013-5-810:22:45
*/
publicclassServer{
;
privatefinalstaticchar[]password="1qaz2wsx".toCharArray();
privateSSLContextcontext;
privateInputStreaminputStream;
publicServer(){
inputStream=this.getClass().getResourceAsStream("/test.jks");
initContext();
try{
//直接运行会报javax.net.ssl.SSLException:
//ServerSocketFactoryfactory=SSLServerSocketFactory.getDefault();
ServerSocketFactoryfactory=context.getServerSocketFactory();
//serverSocket=newServerSocket(10000);
serverSocket=factory.createServerSocket(10000);
System.out.println("======启动安全SocektServer成功=========");
while(true){
Socketsocket=serverSocket.accept();
newReceiveSocket(socket).start();
}
}catch(IOExceptione){
e.printStackTrace();
}
}
//ssl上下文对象的初始化
privatevoidinitContext(){
try{
KeyStorestore=KeyStore.getInstance("JKS");
store.load(inputStream,password);
KeyManagerFactoryfactory=KeyManagerFactory.getInstance("SunX509");
factory.init(store,password);
KeyManager[]keyManagers=factory.getKeyManagers();
context=SSLContext.getInstance("SSL");
context.init(keyManagers,null,null);
}catch(KeyStoreExceptione){
e.printStackTrace();
}catch(NoSuchAlgorithmExceptione){
e.printStackTrace();
}catch(CertificateExceptione){
e.printStackTrace();
}catch(FileNotFoundExceptione){
e.printStackTrace();
}catch(IOExceptione){
e.printStackTrace();
}catch(UnrecoverableKeyExceptione){
e.printStackTrace();
}catch(KeyManagementExceptione){
e.printStackTrace();
}
}
publicstaticvoidmain(String[]args){
newServer();
}
{
privateSocketsocket;
publicReceiveSocket(Socketsocket){
this.socket=socket;
}
;
;
@Override
publicvoidrun(){
try{
reader=newObjectInputStream(newBufferedInputStream(socket.getInputStream()));
//writer=newObjectOutputStream(socket.getOutputStream());
//开启无限循环监控消息
//java.io.EOFException
Objectobj=reader.readUTF();
SocketAddressaddress=socket.getRemoteSocketAddress();
System.out.println(address.toString()+"> "+obj);
//Objectobj=reader.readObject();
//if(obj!=null)
//{
//Useruser=(User)obj;
//System.out.println("id=="+user.getPassword()+" name=="+user.getName());
//}
//while(true){}
}catch(IOExceptione){
e.printStackTrace();
}finally{
if(null!=reader){
try{
reader.close();
}catch(IOExceptione){
e.printStackTrace();
}
}
if(null!=writer){
try{
reader.close();
}catch(IOExceptione){
e.printStackTrace();
}
}
try{
socket.close();
}catch(IOExceptione){
e.printStackTrace();
}
}
}
}
}
第三步 Android端代码
主要是发送数据的代码
protectedVoiddoInBackground(Void...params){
Log.i(TAG,"doInBackground");
try{
SSLContextcontext;
KeyStorets=KeyStore.getInstance("BKS");
ts.load(getResources().openRawResource(R.raw.test),
"1qaz2wsx".toCharArray());
TrustManagerFactorytmf=TrustManagerFactory
.getInstance("X509");
tmf.init(ts);
TrustManager[]tm=tmf.getTrustManagers();
context=SSLContext.getInstance("SSL");
context.init(null,tm,null);
SocketFactoryfactory=context.getSocketFactory();
SSLSocketsocket=(SSLSocket)factory.createSocket(
"192.168.70.249",10000);
ObjectOutputStreamout=newObjectOutputStream(
socket.getOutputStream());
out.writeUTF(UUID.randomUUID().toString());
out.flush();
System.out.println("========客户端发送成功=========");
;
socket.close();
}catch(Exceptionex){
ex.printStackTrace();
}
returnnull;
}以上是主要流程代码,可以根据自身需要适当进行修改
‘陆’ HTTPS 抓包原理以及 Android 端如何防止抓包
抓包的基本原理就是中间人攻击 HTTPS 的握手过程 。Mac 上可使用 Charles 进行抓包。本质上就是两段 HTTPS 连接,Client <--> Man-In-The-Middle 和 Man-In-The-Middle <--> Server。使用 Charles 进行抓包,需要 Client 端提前将 Charles 的根证书添加在 Client 的信任列表中。
回顾之前的 HTTPS 的握手过程 ,可以知道 SSL 的核心过程就是客户端验证证书链合法性——客户端检查证书链中是否有一个证书或者公钥存在于客户端的可信任列表中。
手机系统中内置了上百份不同的根证书。Certificate Pinning 的原理其实就是 app 中内置需要被信任的特定证书,app 在验证服务器传过来的证书链时,使用这些特定证书来验证的。
证书的主要作用是公钥的载体,但在实践中我们更多是去 pinning 公钥, SubjectPublicKeyInfo(SPKI) 。这是因为很多服务器会去定期旋转证书,但是证书旋转后,证书中的公钥还是相同的公钥。
如果私钥泄露了,那么服务器端就不得不使用新的私钥做出新的证书。客户端为了预防这种情况,可以提前 pinning 这些新的证书。这样,当服务器替换新的证书时,客户端 app 就可以不做任何改动。
从 SDK 24 开始,Android 支持通过 xml 来配置 certificate pinning,见 Network Security Configuration 。
其中 <pin> 节点接受 SubjectPublicKeyInfo 的 hash 值。
OkHttp 从 2.1 开始直接支持 Certificate Pinning 。
我在项目实践中发现有的服务器并不会在 ssl 握手阶段 将完整的证书链传输过来——只会传证书链中的根证书和叶子证书。如果安卓系统中使用 HttpUrlConnection 访问服务器,抛出如下类似异常:
但是浏览器对于这种缺失中间证书的服务器却能验证通过,主要原因是浏览器访问有完整证书链的网站时,如果发现证书链中有浏览器没有内置的中间证书,那么浏览器会将该证书缓存下来,这样浏览器访问其他没有该中间证书的服务器时,就可以使用这个缓存的中间证书来验证证书链。
解决安卓上出现这个问题的方法是将这个中间证书通过 app 添加到信任证书列表中。我们需要将该中间证书加入到 App 运行时所用的 TrustManager 中。
使用 X509TrustManagerExtensions 可以将证书 pinning 到 app 中。 X509TrustManagerExtensions.checkServerTrusted() 允许开发者在系统对证书链验证通过后,再次使用自己的方法验证证书链。
使用方法如下:
‘柒’ Android中https单向认证的总结
我们都知道使用fiddler抓取app的数据包,不管是http还是https请求,都能轻松抓取,此时对客户端来说,fiddler是一个服务端,对服务端来说,fiddler就变成了一个客户端,查了下资料,这种方式称为“中间人攻击”,怎么才能防止https中的“中间人攻击”呢,工作中也用到了https,所以想深入研究一下这个问题,当然每个问题如果深挖的话,都需要很多知识的支持,所以这个过程有些地方是自己的理解,难免有些偏差,有问题,咱们讨论区见。
平时我们说的单项认证,一般指的是客户端对服务端的认证,当客户端向服务端发送请求时,服务端会把自己的证书信息发给客户端,这个证书信息包括服务端的公钥、有效时间、有效地址和CA的数字签名等信息,所以客户端需要与预埋一个证书,这样我们可以拿本地证书和服务端发送的证书进行信息匹配,完成认证的过程(在使用fiddler抓包时,需要事先安装的证书就是为了完成这个客户端对服务端的认证过程,而且这个证书应该不是正规的CA机构颁发的证书,而是fiddler自己生成的证书)。
1.获取客户端预埋的服务器端的证书对象
2.生成符合x509标准的证书
3.将证书导入到本地的证书密钥库中去
4.使用本地密钥库初始化信任管理器中去
5.使用信任管理器得到X509TrustManager
6.使用X509TrustManager校验服务端的证书,此方法不报异常即使校验成功
GitHub,SSLHelper5.java
‘捌’ android okhttp https请求
忽略SSL证书的方法
//获取TrustManager
private static TrustManager[] getTrustManager() {
//不校检证书链
TrustManager[] trustAllCerts = new TrustManager[]{
new X509TrustManager() {
@Override
public void checkClientTrusted(X509Certificate[] chain, String authType) {
//不校检客户端证书
}
@Override
public void checkServerTrusted(X509Certificate[] chain, String authType) {
//不校检服务器证书
}
@Override
public X509Certificate[] getAcceptedIssuers() {
return new X509Certificate[]{};
//OKhttp3.0以前返回null,3.0以后返回new X509Certificate[]{};
}
}
};
return trustAllCerts;
}
//获取这个SSLSocketFactory
//通过这个类我们可以获得SSLSocketFactory,这个东西就是用来管理证书和信任证书的
public static SSLSocketFactory getSSLSocketFactory() {
try {
SSLContext sslContext = SSLContext.getInstance("SSL");
sslContext.init(null, getTrustManager(), new SecureRandom());
return sslContext.getSocketFactory();
} catch (Exception e) {
throw new RuntimeException(e);
}
}
//获取HostnameVerifier
public static HostnameVerifier getHostnameVerifier() {
HostnameVerifier hostnameVerifier = new HostnameVerifier() {
@Override
public boolean verify(String s, SSLSession sslSession) {
//未真正校检服务器端证书域名
return true;
}
};
return hostnameVerifier;
}
public OkHttpClient getOkHttpClient() {
if (mOkHttpClient == null) {
mOkHttpClient = new OkHttpClient.Builder()
.connectTimeout(15, TimeUnit.SECONDS)
.sslSocketFactory(new SSLSocketClient().getSSLSocketFactory())//配置
.hostnameVerifier(new SSLSocketClient().getHostnameVerifier())//配置
// .readTimeout(10, TimeUnit.SECONDS)
.build();
}
return mOkHttpClient;
}
原文链接: Android https请求证书处理