什么是报文消息鉴别，哪几种方法

报文鉴别时证实收到的报文来自可信的源点且未被篡改的过程。鉴别函数包括报文加密，报文鉴别码和散列函数三块内容。

报文加密

包括常规加密和公开密钥加密。常规加密提供保密性和鉴别。公开密钥加密分为具有鉴别和签名的公开密钥加密和具有机密性和鉴别及签名的公开密钥加密。

报文鉴别码

原理：发送发送方使用一个密钥和特定算法对明文产生一个短小的定长数据分组，即MAC（报文鉴别码），并将它附加在报文中。在接收方，使用相同密钥的和算法对明文计算MAC，如果新的MAC与报文中的MAC匹配，那么接受者确信报文未被修改过，接受者确信报文来自所期望的发送方。

散列函数

散列函数类似报文鉴别码，一个散列函数以一个变长的报文作为输入，产生一个定长的散列码作为输出。散列码通常称为报文摘要（MD）。散列码是报文中所有比特的函数值，并具有差错检测能力，即报文中被修改则散列码改变。

MD与MAC的区别：是否需要密钥。散列函数可用于报文的完整性鉴别，与加密技术配合使用可以对报文的起源进行鉴别，还可以用于存储文件的完整性检验。

OkHttp源码解析 （三）——代理和路由

要看你说的 是什么协议咯，协议有

ATM协议 即异步传输模式,ATM协议是以高速分组传送模式为主,综合电路传输模式优 先的一种宽带传输模式。

BGP协议 BGP协议即边界网关协议,BGP协议是不同自治系统路由器之间进行通信的外部网关协议

DHCP协议 主要用在路由器中给局域网各主机分配IP

DNS协议 域名系统(服务)协议

DSL协议 高速数字用户线,已经是历史了

EIGRP协议 增强的内部网关路由选择协议

FDDI协议 FDDI(光纤分布数据接口)是目前成熟的LAN技术中传输速率最高的一种

FTP协议 地球人都知道

HTTP协议 地球人都知道

IGRP协议 IGRP (Interior Gateway Routing Protocol)是一种动态距离向量路由协议,它由Cisco公司八十年代中期设计。使用组合用户配置尺度,包括延迟、带宽、可靠性和负载。

IPV6协议 目前的全球因特网所采用的协议族是TCP/IP协议族。IP是TCP/IP协议族中网络层的协议,是TCP/IP协议族的核心协议。目前IP协议的版本号是4(简称为IPv4,v是version——版本),它的下一个版本就是IPv6。IPv6正处在不断发展和完善的过程中,它在不久的将来将取代目前被广泛使用的IPv4。

MPLS协议 MPLS(Multi-Propocol Label Switching)即多协议标记交换。

IPX协议 IPX协议是Novell NetWare自带的最底层网络协议，主要用来控制局域网内或局域网之间数据包的寻址和路由，只负责数据包在局域网中的传送，并不保证消息的完整性，也不提供纠错服务。

OSPF协议 OSPF(Open Shortest Path First)是一个内部网关协议(Interior Gateway Protocol,简称IGP)，用于在单一自治系统(autonomous system,AS)内决策路由。

POP3协议 POP 即为 Post Office Protocol 的简称,是一种电子邮局传输协议,而 POP3 是它的第三个版本

PPP协议 PPP协议中提供了一整套方案来解决链路建立、维护、拆除、上层协议协商、认证等问题。

RIP协议 距离向量路由协议。

SMTP协议 SMTP(Simple Mail Transfer Protocol)即简单邮件传输协议,它是一组用于由源地址到目的地址传送邮件的规则,由它来控制信件的中转方式。

SNMP协议 简单网络管理协议(SNMP)首先是由Internet工程任务组织(Internet Engineering Task Force)(IETF)的研究小组为了解决Internet上的路由器管理问题而提出的。它可以在IP，IPX，AppleTalk，OSI以及其他用到的传输协议上被使用。

TCP/IP协议 TCP/IP（Transmission Control Protocol/Internet Protocol的简写，中文译名为传输控制协议/互联网络协议）协议是Internet最基本的协议，简单地说，就是由底层的IP协议和TCP协议组成的。

TELNET协议 用于远程登录

TFTP协议 TFTP全称为Trivial File Transfer Protocol，中文名叫简单文件传输协议。

UDP协议 用户数据报协议是定义用来在互连网络环境中提供包交换的计算机通信的协议。

VLAN协议 VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头

VOIP协议 VoIP(Voice over Internet Protocol)是一种以IP电话为主,并推出相应的增值业务的技术

WINS协议 WINS是Windows Internet Name Server（Windows网际名字服务）的简称。WINS为NetBIOS名字提供名字注册、更新、释放和转换服务，这些服务允许WINS服务器维护一个将NetBIOS名链接到IP地址的动态数据库，大大减轻了对网络交通的负担。

WLAN协议 WLAN是无线局域网的首字母缩写词。

以太网协议 以太网协议有两种,一种是IEEE802.2/IEEE802.3,还有一种是以太网的封装格式。

WAP （无线通讯协议）是在数字移动电话、互联网或其他个人数字助理机（PDA）、计算机应用乃至未来的信息家电之间进行通讯的全球性开放标准。

ICMP 是“Internet Control Message Protocol”（Internet控制消息协议）的缩写。它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。

我对报文的理解：

报文=数据块

RFC 791

初看OkHttp源码，由于对Address、Route、Proxy、ProxySelector、RouteSelector等理解不够，读源码非常吃力，看了几遍依然对于寻找复用连接、创建连接、连接服务器、连接代理服务器、创建隧道连接等逻辑似懂非懂，本篇决定梳理一遍相关的概念及基本原理。

● HTTP/1.1(HTTPS)

● HTTP/2

● SPDY

一个http请求的流程（直连）：

1、输入url及参数；

2、如果是url是域名则解析ip地址，可能对应多个ip，如果没有指定端口，则用默认端口，http请求用80；

3、创建socket，根据ip和端口连接服务器（socket内部会完成3次TCP握手）；

4、socket成功连接后，发送http报文数据。

一个https请求的流程（直连）：

1、输入url及参数；

2、如果是url是域名则解析ip地址，可能对应多个ip，如果没有指定端口，则用默认端口，https请求用443；

3、创建socket，根据ip和端口连接服务器（socket内部会完成3次TCP握手）；

4、socket成功连接后进行TLS握手，可通过java标准款提供的SSLSocket完成；

5、握手成功后，发送https报文数据。

1、分类

● HTTP代理：普通代理、隧道代理

● SOCKS代理：SOCKS4、SOCKS5

2、HTTP代理分类及说明

普通代理

HTTP/1.1 协议的第一部分。其代理过程为：

● client 请求 proxy

● proxy 解析请求获取 origin server 地址

● proxy 向 origin server 转发请求

● proxy 接收 origin server 的响应

● proxy 向 client 转发响应

其中proxy获取目的服务器地址的标准方法是解析 request line 里的 request-URL。因为proxy需要解析报文，因此普通代理无法适用于https，因为报文都是加密的。

隧道代理

通过 Web 代理服务器用隧道方式传输基于 TCP 的协议。

请求包括两个阶段，一是连接（隧道）建立阶段，二是数据通信（请求响应）阶段，数据通信是基于 TCP packet ，代理服务器不会对请求及响应的报文作任何的处理，都是原封不动的转发，因此可以代理 HTTPS请求和响应。

代理过程为：

● client 向 proxy 发送 CONNET 请求（包含了 origin server 的地址）

● proxy 与 origin server 建立 TCP 连接

● proxy 向 client 发送响应

● client 向 proxy 发送请求，proxy 原封不动向 origin server 转发请求，请求数据不做任何封装，为原生 TCP packet.

3、SOCKS代理分类及说明

● SOCKS4：只支持TCP协议（即传输控制协议）

● SOCKS5: 既支持TCP协议又支持UDP协议（即用户数据包协议），还支持各种身份验证机制、服务器端域名解析等。

SOCK4能做到的SOCKS5都可得到，但反过来却不行，比如我们常用的聊天工具QQ在使用代理时就要求用SOCKS5代理，因为它需要使用UDP协议来传输数据。

有了上面的基础知识，下面分析结合源码分析OkHttp路由相关的逻辑。OkHttp用Address来描述与目标服务器建立连接的配置信息，但请求输入的可能是域名，一个域名可能对于多个ip，真正建立连接是其中一个ip，另外，如果设置了代理，客户端是与代理服务器建立直接连接，而不是目标服务器，代理又可能是域名，可能对应多个ip。因此，这里用Route来描述最终选择的路由，即客户端与哪个ip建立连接，是代理还是直连。下面对比下Address及Route的属性，及路由选择器RouteSelector。

描述与目标服务器建立连接所需要的配置信息，包括目标主机名、端口、dns，SocketFactory，如果是https请求，包括TLS相关的SSLSocketFactory 、HostnameVerifier 、CertificatePinner，代理服务器信息Proxy 、ProxySelector 。

Route提供了真正连接服务器所需要的动态信息，明确需要连接的服务器IP地址及代理服务器，一个Address可能会有很多个路由Route供选择（一个DNS对应对个IP）。

Address和Route都是数据对象，没有提供操作方法，OkHttp另外定义了RouteSelector来完成选择的路由的操作。

1、读取代理配置信息：resetNextProxy()

读取代理配置：

● 如果有指定代理（不读取系统配置，在OkHttpClient实例中指定），则只用1个该指定代理；

● 如果没有指定，则读取系统配置的，可能有多个。

2、获取需要尝试的socket地址（目标服务器或者代理服务器）：resetNextInetSocketAddress()

结合Address的host和代理，解析要尝试的套接字地址（ip+端口）列表：

● 直连或者SOCK代理， 则用目标服务器的主机名和端口，如果是HTTP代理，则用代理服务器的主机名和端口；

● 如果是SOCK代理，根据目标服务器主机名和端口号创建未解析的套接字地址，列表只有1个地址；

● 如果是直连或HTTP代理，先DNS解析，得到InetAddress列表（没有端口），再创建InetSocketAddress列表（带上端口），InetSocketAddress与InetAddress的区别是前者带端口信息。

3、获取路由列表：next()

选择路由的流程解析：

● 遍历每个代理对象，可能多个，直连的代理对象为Proxy.DIRECT（实际是没有中间代理的）；

● 对每个代理获取套接字地址列表；

● 遍历地址列表，创建Route，判断Route如果在路由黑名单中，则添加到失败路由列表，不在黑名单中则添加到待返回的Route列表；

● 如果最后待返回的Route列表为空，即可能所有路由都在黑名单中，实在没有新路由了，则将失败的路由集合返回；

● 传入Route列表创建Selection对象，对象比较简单，就是一个目标路由集合，及读取方法。

为了避免不必要的尝试，OkHttp会把连接失败的路由加入到黑名单中，由RouteDatabase管理，该类比较简单，就是一个失败路由集合。

1、创建Address

Address的创建在RetryAndFollowUpInteceptor里，每次请求会声明一个新的Address及StreamAllocation对象，而StreamAllocation使用Address创建RouteSelector对象，在连接时RouteSelector确定请求的路由。

每个Requst都会构造一个Address对象，构造好了Address对象只是有了与服务器连接的配置信息，但没有确定最终服务器的ip，也没有确定连接的路由。

2、创建RouteSelector

在StreamAllocation声明的同时会声明路由选择器RouteSelector，为一次请求寻找路由。

3、选择可用的路由Route

下面在测试过程跟踪实例对象来理解，分别测试直连和HTTP代理HTTP2请求路由的选择过程：

● 直连请求流程

● HTTP代理HTTPS流程

请求url： https://www.jianshu.com/p/63ba15d8877a

1、构造address对象

2、读取代理配置：resetNextProxy

3、解析目标服务器套接字地址：resetNextInetSocketAddress

4、选择Route创建RealConnection

5、确定协议

测试方法：

● 在PC端打开Charles，设置端口，如何设置代理，网上有教程，比较简单；

● 手机打开WIFI，选择连接的WIFI修改网络，在高级选项中设置中指定了代理服务器，ip为PC的ip，端口是Charles刚设置的端口；

● OkHttpClient不指定代理，发起请求。

1、构造address对象

2、读取代理配置：resetNextProxy

3、解析目标服务器套接字地址：resetNextInetSocketAddress

4、选择Route创建RealConnection

5、创建隧道

由于是代理https请求，需要用到隧道代理。

从图可以看出，建立隧道其实是发送CONNECT请求，header包括字段Proxy-Connection，目标主机名，请求内容类似：

6、确定协议，SSL握手

1、代理可分为HTTP代理和SOCK代理；

2、HTTP代理又分为普通代理和隧道代理；普通代理适合明文传输，即http请求；隧道代理仅转发TCP包，适合加密传输，即https/http2;

3、SOCK代理又分为SOCK4和SOCK5，区别是后者支持UDP传输，适合代理聊天工具如QQ；

4、没有设置代理（OkHttpClient没有指定同时系统也没有设置），客户端直接与目标服务器建立TCP连接；

5、设置了代理，代理http请求时，客户端与代理服务器建立TCP连接，如果代理服务器是域名，则解释代理服务器域名，而目标服务器的域名由代理服务器解析；

6、设置了代理，代理https/http2请求时，客户端与代理服务器建立TCP连接，发送CONNECT请求与代理服务器建立隧道，并进行SSL握手，代理服务器不解析数据，仅转发TCP数据包。

如何正确使用 HTTP proxy

OkHttp3中的代理与路由

HTTP 代理原理及实现（一）

鹏仔微信 15129739599 鹏仔QQ344225443 鹏仔前端 pjxi.com 共享博客 sharedbk.com