配圖

1.添加日志輸出

Retrofit retrofit = new Retrofit.Builder().client(new OkHttpClient.Builder().addNetworkInterceptor(
   new HttpLoggingInterceptor().setLevel(HttpLoggingInterceptor.Level.HEADERS)).build());

2.添加請(qǐng)求頭信息

在 Retrofit官方文檔的翻譯 一文中有提到，每一個(gè)請(qǐng)求都需要添加相同的 header的時(shí)候可以使用 OkHttp 的 interceptor 來指定。

new Retrofit.Builder()
           .addConverterFactory(GsonConverterFactory.create())
           .client(new OkHttpClient.Builder()
                   .addInterceptor(new Interceptor() {
                       @Override
                       public Response intercept(Chain chain) throws IOException {
                           Request request = chain.request()
                                   .newBuilder()
                                   .addHeader("Accept", "application/vnd.github.v3.full+json")
                                   .addHeader("User-Agent", "Retrofit-Sample-App")
                                   .build();
                           return chain.proceed(request);
                       }
                   })

                   .build()

3.支持自簽名的https

首先這里要說一下，看到網(wǎng)上說了很多okhttp如何支持https的文章。首先要了解的是，okhttp默認(rèn)情況下是支持https協(xié)議的網(wǎng)站的，比如 https://www.baidu.com 等，這些網(wǎng)站可以直接通過okhttp請(qǐng)求，不需要添加而外的支持。不過要注意的是，支持的https的網(wǎng)站基本都是CA機(jī)構(gòu)頒發(fā)的證書，默認(rèn)情況下是可以信任的。

然后我們今天要說的是自簽名的https，什么叫自簽名呢？就是自己通過keytool去生成一個(gè)證書，然后使用，并不是CA機(jī)構(gòu)去頒發(fā)的。使用自簽名證書的網(wǎng)站，大家在使用瀏覽器訪問的時(shí)候，一般都是報(bào)風(fēng)險(xiǎn)警告，好在有個(gè)大名鼎鼎的網(wǎng)站就是這么干的，https://kyfw.12306.cn/otn/ ，點(diǎn)擊進(jìn)入12306的購(gòu)票頁(yè)面就能看到了。

在寫本文之前也查看了很多資料，我呢，盡量把每一步都說的詳細(xì)一點(diǎn)。

SSL單向認(rèn)證

加入證書源文件，證書可以放在assets 下面，或者raw 下面也是可以的：

配圖1

• 構(gòu)造keyStore對(duì)象， 然后將得到的CertificateStream放入到keyStore中。

InputStream certificateStream = mContext.getResources().openRawResource(R.raw.srca);

 KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());

 keyStore.load(certificateStream, "password".toCharArray());    

• 接下來利用keyStore去初始化我們的TrustManagerFactory.

TrustManagerFactory trustManagerFactory = 
          TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm()); 
trustManagerFactory.init(keyStore);

• 由trustManagerFactory.getTrustManagers獲得TrustManager[]初 始化我們的SSLContext

//"TLS" SSL協(xié)議 由服務(wù)器端確定
SSLContext sslContext = SSLContext.getInstance("TLS");
sslContext.init ( 
                null, 
                trustManagerFactory.getTrustManagers(), 
                null);

根據(jù)okhttp3.0以前的版本，上面這樣寫是沒問題的，3.0以后版本API文檔中，這樣寫道:
If necessary, you can create and configure the defaults yourself with the following code:
如果有必要，你可以參考下面的代碼根據(jù)自己的需求創(chuàng)建和設(shè)置的默認(rèn)值。

TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(
       TrustManagerFactory.getDefaultAlgorithm());
 trustManagerFactory.init((KeyStore) null);
 TrustManager[] trustManagers = trustManagerFactory.getTrustManagers();
if (trustManagers.length != 1 || !(trustManagers[0] instanceof X509TrustManager)) {
     throw new IllegalStateException("Unexpected default trust managers:"
         + Arrays.toString(trustManagers));
   }
X509TrustManager trustManager = (X509TrustManager) trustManagers[0];

SSLContext sslContext = SSLContext.getInstance("TLS");
sslContext.init(null, new TrustManager[] { trustManager }, null);
SSLSocketFactory sslSocketFactory =
        sslContext.getSocketFactory();

OkHttpClient client = new OkHttpClient.Builder()
       .sslSocketFactory(sslSocketFactory, trustManager);
       .build();

• 那根據(jù)上面的提供，我們來修改一下SSLContext的初始化：

TrustsManager[] trustManagers = trustManagerFactory.getTrustManagers();
X509TrustManager trustManager = chooseTrustManager(trustManagers);
if (trustManager != null) {   
     trustManager = new MyTrustManager(chooseTrustManager(trustManagers));
     } else {  
      trustManager = new UnSafeTrustManager();
     }
sslContext.init(null, new TrustManager[]{trustManager}, null);

private static X509TrustManager chooseTrustManager(TrustManager[] trustManagers) {
    for (TrustManager trustManager : trustManagers) {
        if (trustManager instanceof X509TrustManager) {
            return (X509TrustManager) trustManager;
        }    
  } 
  return null;
}

private static class MyTrustManager implements X509TrustManager {
    private X509TrustManager defaultTrustManager;
    private X509TrustManager localTrustManager;
    public MyTrustManager(X509TrustManager localTrustManager) throws NoSuchAlgorithmException, KeyStoreException {
        TrustManagerFactory var4 = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
        var4.init((KeyStore) null);
        this.defaultTrustManager = chooseTrustManager(var4.getTrustManagers());
        this.localTrustManager = localTrustManager;
    }
    @Override
    public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {
    }
    @Override
    public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
        try {
            localTrustManager.checkServerTrusted(chain, authType);
        } catch (CertificateException ce) {
            defaultTrustManager.checkServerTrusted(chain, authType);
        }
    }
    @Override
    public X509Certificate[] getAcceptedIssuers() {
        return new X509Certificate[0];
    }
}

• 最后，設(shè)置我們OkHttpClient即可。

OkHttpClient okHttpClient = new OkHttpClient.Builder()
        .sslSocketFactory(sslContext.getSocketFactory(), trustManager)).build();

到此為止，單向認(rèn)證基本講完了 ，接下來雙向認(rèn)證就相對(duì)簡(jiǎn)單了。

SSL雙向認(rèn)證

核心代碼：

//初始化keystore
KeyStore clientKeyStore = KeyStore.getInstance(KeyStore.getDefaultType());
clientKeyStore.load(mContext.getAssets().open("zhy_client.bks"), "123456".toCharArray());

KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
keyManagerFactory.init(clientKeyStore, "123456".toCharArray());

sslContext.init(keyManagerFactory.getKeyManagers(), new TrustManager[]{trustManager}, null);

關(guān)于客戶端證書文件，Java平臺(tái)默認(rèn)識(shí)別jks格式的證書文件，但是android平臺(tái)只識(shí)別bks格式的證書文件。

4.認(rèn)證機(jī)構(gòu)認(rèn)證后的https

添加證書certificatePinner
certificatePinner(CertificatePinner certificatePinner) 的是在 由正式證書頒發(fā)機(jī)構(gòu)認(rèn)證的情況下，避免證書頒發(fā)機(jī)構(gòu)的非法訪問。

OkHttpClient client = new OkHttpClient.Builder()
    .certificatePinner(new CertificatePinner.Builder()
            .add("YOU API.com", "sha1/DmxUShsZuNiqPQsX2Oi9uv2sCnw=")
            .add("YOU API..com", "sha1/SXxoaOSEzPC6BgGmxAt/EAcsajw=")
            .add("YOU API..com", "sha1/blhOM3W9V/bVQhsWAcLYwPU6n24=")
            .add("YOU API..com", "sha1/T5x9IXmcrQ7YuQxXnxoCmeeQ84c=")
            .build())

這是主機(jī)名驗(yàn)證
設(shè)置用于確認(rèn)響應(yīng)證書申請(qǐng)請(qǐng)求的主機(jī)名的HTTPS連接的驗(yàn)證。
如果不設(shè)置，默認(rèn)的主機(jī)名校驗(yàn)將被使用。

okhttpBuilder.hostnameVerifier(HttpsFactroy.getHostnameVerifier(hosts));

最后，Retrofit與 okhttp3.0的結(jié)合：

retrofit = new Retrofit.Builder().client(client).build();

總結(jié)

關(guān)于okhttp的使用，本文不多說，主要是retrofit與okhttp相結(jié)合使用中用到的部分，本文也只是本人在 okhttp 與 retrofit 的結(jié)合使用中的一點(diǎn)總結(jié)，如果有不對(duì)的地方，望書友們指導(dǎo)。

參考文章：

• Retrofit 2.0 超能實(shí)踐，完美支持加密Https傳輸
• okHttp官方文檔
• Android Https相關(guān)完全解析 當(dāng)OkHttp遇到Https