2. 程式人生 > >Android okhttp3 SSL握手底層實現追蹤

Android okhttp3 SSL握手底層實現追蹤

阿新 發佈:2019-02-19

對於https,在tcp三次握手後就會進行ssl的握手,ssl握手的詳細過程網上介紹的很多。下面跟蹤下okhttp3對於ssl握手的實現過程。

在okhttp3.internal.io.RealConnection#connectSocket中

  private void connectSocket(int connectTimeout, int readTimeout, int writeTimeout,
      ConnectionSpecSelector connectionSpecSelector) throws IOException {
    rawSocket.setSoTimeout(readTimeout);
    try
 
 {
      Platform.get().connectSocket(rawSocket, route.socketAddress(), connectTimeout);
    } catch (ConnectException e) {
      throw new ConnectException("Failed to connect to " + route.socketAddress());
    }
    source = Okio.buffer(Okio.source(rawSocket));
    sink = Okio.buffer(Okio.sink(rawSocket));

    if
 
 (route.address().sslSocketFactory() != null) {
      connectTls(readTimeout, writeTimeout, connectionSpecSelector);
    } else {
      protocol = Protocol.HTTP_1_1;
      socket = rawSocket;
    }
    。。。
 }

首先tcp三次握手:Platform.get().connectSocket
其次獲得I/O流:source = Okio.buffer(Okio.source(rawSocket));sink = Okio.buffer(Okio.sink(rawSocket));
然後判斷是否需要ssl,如果需要則進行ssl:connectTls(readTimeout, writeTimeout, connectionSpecSelector);

在connectTls中,忽略其他的,ssl握手發生在

sslSocket.startHandshake();

startHandshake的實現在org.conscrypt.OpenSSLSocketImpl#startHandshake中,
(/libcore/crypto/src/main/java/org/conscrypt/OpenSSLSocketImpl.java)

@Override public synchronized void startHandshake() throws IOException {
    。。。
    int sslSessionNativePointer;
    try {
        sslSessionNativePointer = NativeCrypto.SSL_do_handshake(sslNativePointer,
                        socket.getFileDescriptor$(), this, getSoTimeout(), client, npnProtocols,client ? null : alpnProtocols);
        } catch (CertificateException e) {
                SSLHandshakeException wrapper = new SSLHandshakeException(e.getMessage());
                wrapper.initCause(e);
                throw wrapper;
       }
    。。。
 }

呼叫的是native函式NativeCrypto.SSL_do_handshake(),實現在/libcore/crypto/src/main/native/org_conscrypt_NativeCrypto.cpp中,取出關鍵部分進行分析

static jlong NativeCrypto_SSL_do_handshake(JNIEnv* env, jclass, jlong ssl_address, jobject fdObject,jobject shc, jint timeout_millis, jboolean client_mode, jbyteArray npnProtocols,
        jbyteArray alpnProtocols) {
        。。。
            /*
     * Make socket non-blocking, so SSL_connect SSL_read() and SSL_write() don't hang
     * forever and we can use select() to find out if the socket is ready.
     */
    if (!setBlocking(fd.get(), false)) {
        throwSSLExceptionStr(env, "Unable to make socket non blocking");
        SSL_clear(ssl);
        JNI_TRACE("ssl=%p NativeCrypto_SSL_do_handshake setBlocking => 0", ssl);
        return 0;
    }
        。。。
    ret = 0;
    while (appData->aliveAndKicking) {
        errno = 0;

        if (!appData->setCallbackState(env, shc, fdObject, npnProtocols, alpnProtocols)) {
            // SocketException thrown by NetFd.isClosed
            SSL_clear(ssl);
            JNI_TRACE("ssl=%p NativeCrypto_SSL_do_handshake setCallbackState => 0", ssl);
            return 0;
        }
        ret = SSL_do_handshake(ssl);
        appData->clearCallbackState();
        // cert_verify_callback threw exception
        if (env->ExceptionCheck()) {
            SSL_clear(ssl);
            JNI_TRACE("ssl=%p NativeCrypto_SSL_do_handshake exception => 0", ssl);
            return 0;
        }
        // success case
        if (ret == 1) {
            break;
        }
        // retry case
        if (errno == EINTR) {
            continue;
        }
        // error case
        int sslError = SSL_get_error(ssl, ret);
        JNI_TRACE("ssl=%p NativeCrypto_SSL_do_handshake ret=%d errno=%d sslError=%d timeout_millis=%d",
                  ssl, ret, errno, sslError, timeout_millis);

        /*
         * If SSL_do_handshake doesn't succeed due to the socket being
         * either unreadable or unwritable, we use sslSelect to
         * wait for it to become ready. If that doesn't happen
         * before the specified timeout or an error occurs, we
         * cancel the handshake. Otherwise we try the SSL_connect
         * again.
         */
        if (sslError == SSL_ERROR_WANT_READ || sslError == SSL_ERROR_WANT_WRITE) {
            appData->waitingThreads++;
            int selectResult = sslSelect(env, sslError, fdObject, appData, timeout_millis);

            if (selectResult == THROWN_EXCEPTION) {
                // SocketException thrown by NetFd.isClosed
                SSL_clear(ssl);
                JNI_TRACE("ssl=%p NativeCrypto_SSL_do_handshake sslSelect => 0", ssl);
                return 0;
            }
            if (selectResult == -1) {
                throwSSLExceptionWithSslErrors(env, ssl, SSL_ERROR_SYSCALL, "handshake error");
                SSL_clear(ssl);
                JNI_TRACE("ssl=%p NativeCrypto_SSL_do_handshake selectResult == -1 => 0", ssl);
                return 0;
            }
            if (selectResult == 0) {
                throwSocketTimeoutException(env, "SSL handshake timed out");
                SSL_clear(ssl);
                freeOpenSslErrorState();
                JNI_TRACE("ssl=%p NativeCrypto_SSL_do_handshake selectResult == 0 => 0", ssl);
                return 0;
            }
        } else {
            // ALOGE("Unknown error %d during handshake", error);
            break;
        }
    }

    // clean error. See SSL_do_handshake(3SSL) man page.
    if (ret == 0) {
        /*
         * The other side closed the socket before the handshake could be
         * completed, but everything is within the bounds of the TLS protocol.
         * We still might want to find out the real reason of the failure.
         */
        int sslError = SSL_get_error(ssl, ret);
        if (sslError == SSL_ERROR_NONE || (sslError == SSL_ERROR_SYSCALL && errno == 0)) {
            throwSSLExceptionStr(env, "Connection closed by peer");
        } else {
            throwSSLExceptionWithSslErrors(env, ssl, sslError, "SSL handshake terminated");
        }
        SSL_clear(ssl);
        JNI_TRACE("ssl=%p NativeCrypto_SSL_do_handshake clean error => 0", ssl);
        return 0;
    }

    // unclean error. See SSL_do_handshake(3SSL) man page.
    if (ret < 0) {
        /*
         * Translate the error and throw exception. We are sure it is an error
         * at this point.
         */
        int sslError = SSL_get_error(ssl, ret);
        throwSSLExceptionWithSslErrors(env, ssl, sslError, "SSL handshake aborted");
        SSL_clear(ssl);
        JNI_TRACE("ssl=%p NativeCrypto_SSL_do_handshake unclean error => 0", ssl);
        return 0;
    }
    。。。
}

(1)設定SSL為非阻塞模式
(2)在while裡呼叫openssl的SSL_do_handshake進行握手,返回後檢查是否握手成功了,成功則直接跳出while
(3)如果不成功,則檢查是否是因為socket不能讀寫造成的
(4)如果是因為socket此時不能讀寫,則呼叫sellect進行等待,此次握手成功則返回,此次失敗則繼續while,即回到(2)
(5)如果不是因為socket讀寫的原因,則握手失敗,跳出while,進行失敗原因判斷

相關推薦

Android okhttp3 SSL握手底層實現追蹤

對於https,在tcp三次握手後就會進行ssl的握手,ssl握手的詳細過程網上介紹的很多。下面跟蹤下okhttp3對於ssl握手的實現過程。 在okhttp3.internal.io.RealConnection#connectSocket中

Android okhttp3 DNS 底層實現追蹤(二)

在《Android okhttp3 DNS 底層實現追蹤(一)》中分析了okhttp3的DNS從framework通過jni到libc的過程,止步於getaddrinfo。 在getaddinfo中,DNS的解析是通過Netd代理的方式進行的。Netd是Net

Android okhttp3 DNS 底層實現追蹤(一)

需求:Android 4.4 + okhttp 3.2;非root,在應用層,拿到DNS維度底層資料 方案:jni + hook libc.so中DNS關鍵getaddrinfo 分析: 1.人為製造DNS異常,丟擲呼叫鏈路: 即: java.net.InetAd

Android實現SSL握手實現伺服器和客戶端之間Socket互動

public class MySSLSocket extends Activity {      private static final int SERVER_PORT = 50030;//埠號      private static final String SERVER_IP = "218.206.17

Android okhttp3 利用socket進行read/write的底層實現跟蹤

在okhttp3.internal.io.RealConnection#connectSocket中初始化了socket並進行了connect,此時tcp的三次握手已經搞定,接下來它通過okio庫與遠端socket建立I/O連線,如下程式碼所示: /*

Android okhttp3 進行socket connect&poll的底層實現跟蹤

由《Android okhttp3 建立Socket的底層實現追蹤》可知,okhttp3在okhttp3.internal.io.RealConnection#connectSocket中通過rawSocket.setSoTimeout(readTimeout)

Android底層實現讓應用殺不死(1)

情景還原: 我的應用呼叫了Notification,但是如果被流氓清理軟體殺死,在有些機型出現Notification沒有被抹除的情況,因為喪失了對Notification的引用,使用者也無法抹除這個Notification,這將大大降低使用者體驗。於是,我想出

Android HTTPS如何10分鐘實現自簽名SSL證書

前言 去年公司內一個應用加了支付寶支付功能,為了保證安全,支付請求連結寫成了https。 由於公司伺服器使用的是的自簽名證書,而在Android系統中自己簽署的不能通過驗證的,所以會丟擲錯誤。 於是我網上查找了很多資料,也嘗試過幾種方法,過程都很繁瑣,搞了一通宵都不行。 幸

[Android] 徹底瞭解Binder機制原理和底層實現

1.Binder通訊機制介紹 這篇文章會先對比Binder機制與Linux的通訊機制的差別,瞭解為什麼Android會另起爐灶,採用Binder。接著,會根據 Binder的機制,去理解什麼是Service Manager,在C/S模型中扮演什麼角色。最後,會從一次完整的通訊活動中,去理解Binder通訊

全方位理解Android許可權之底層實現概覽

0000 這個階段搞了很多和Android檔案許可權相關的問題,雖然一知半解,但也算是對Android許可權機制有一些自己的理解。遂將這些內容整理出來。因為許可權這部分涉及到的內容很多,故將知識分為幾塊內容分別去整理。目前能想到的概要如下: Android 許可權底層實現原理概述 Android

Android 錄音實現追蹤Android 7.1)

未完待續 最初的夢想 哈哈哈哈哈哈,我就是想了解下Android上錄音是怎麼實現的,寫了個簡單的錄音demo,一路跟下去,瞅瞅這傢伙都幹了些啥。基於Android 7.1, s905x 平臺。 冰山上面的部分 按照官方我Android大文件

Android-GreenDao增刪改查以及底層實現簡介

GreenDao 初始化: public voidinitDB(Context context,String dbName) { this.context= context; DaoMaster.DevOpenHelper helper =newDaoMaster.DevO

Android之使用weight屬性實現控件的按比例分配空間

今天 text wrap 在底部 net ack 實現 sans com 從今天開始,把看書時候的知識點整理成博客,這個比較簡單,預計有經驗的都用過,weight屬性 在做Android布局的時候,常常遇到須要幾個控件按比例分配空間的情況比方下圖效果在底部設置兩個butt

android 自己定義dialog並實現失去焦點(背景透明)的功能

super 效果 andro 教程 his 布局 .com tle near 前言:因為在項目中須要用到更新顯示動畫的需求,所以想到了dialog,自己定義dialog不難。網上教程非常多,可是在實現dialog背景透明的需求時,遇到了一點問題。網上的一些方法在我的機器

iOS開發各種底層實現--面試必備!

task 源碼 控件 改變 消息發送 釋放內存 retain select 匹配 iOS開發常用技術底層實現(精簡概述) 本章將對ios開發技術底層實現的總結,其實關於ios開發中各種底層的實現,網上相關文章多到數不過來,而不且非常不錯,我也沒有自信我能比他們做的更好,因

Android中apk動態載入技術研究(2)android插件化及實現

name creat package path iss fontsize 調用 dex con 了解了android中類載入的前期知識點後,來看看android中DexClassLoader詳細的實現 詳細載入流程例如以下: 宿主程序會到文件系統比

android Title滑塊動畫實現(適合新聞client多種欄目的展示)

back content this ani == div .get tostring rep 先上效果圖,選擇不同的模塊,滑動會通過動畫形式滑過去,這樣的適合新聞client多種欄目的展示: 這麽寫Layout: <RelativeLayout xmlns:

prototype和new的底層實現

bject span console prot pan var col tor 包含 <script type="text/javascript"> function A(){ this.name = "jack

android studio 中jni底層日誌的打印

添加 註意 erro ldl end 1.0 dto 字符 ati 1 添加ndk對log支持若需要添加ndk對log的支持,只需要通過以下2步即可實現。 1.1 修改Android.mk如生成的庫文件是“.so文件”,則在Android.mk中添加如下內容:LOCAL_L

9.3-全棧Java筆記:List接口常用實現類的特點和底層實現

java上節我們講到「List接口的特點和常用方法」,本節接著上節的內容繼續深入學習。課前回顧: List接口常用的實現類有3個:ArrayList、LinkedList、Vector。那麽它們的特點和底層實現有哪些呢?ArrayList特點和底層實現ArrayList底層是用數組實現的存儲。特點:查詢效率高