系统会提示说不安全,因为网站通过js就能调用你的android代码,假如你确认你的网站没用到JS的话就不要打开这个开关,假如用到了,就添加一个注解忽略它就行了。
后来就使用我们公司的网站了,发现也出不来,后来发现公司网站用到了dom存储,以是还必要打开这个开关:
- webView.settings.domStorageEnabled = true
- webView.webViewClient = object: WebViewClient() {
- override fun onReceivedSslError(view: WebView?, handler: SslErrorHandler?, error: SslError) {
- handler?.proceed()
- }
这样的做法是不安全的,而且这样的代码也无法把app上传到谷歌市场,因为必须要有对应的cancel调用,说白了就是要我们自己去验证证书的合法性,合法就调用proceed,否则调用cancel,代码如下(用到了OkHttp的相关类):
- webView.webViewClient = object: WebViewClient() {
- override fun onReceivedSslError(view: WebView?, handler: SslErrorHandler?, error: SslError) {
- val message = when (error.primaryError) {
- SslError.SSL_DATE_INVALID -> "证书日期无效"
- SslError.SSL_EXPIRED -> "证书已过期。"
- SslError.SSL_IDMISMATCH -> "主机名不匹配。"
- SslError.SSL_INVALID -> "发生一般错误"
- SslError.SSL_MAX_ERROR -> "不同SSL错误的数量。"
- SslError.SSL_NOTYETVALID -> "证书尚未生效。"
- SslError.SSL_UNTRUSTED -> "证书颁发机构不受信任。" // 自定义证书会执行到这个分支来
- else -> "SSL证书错误,错误码:${error.primaryError}"
- }
- Timber.i("SSL错误:$message")
- if (error.primaryError == SslError.SSL_UNTRUSTED) {
- // 证书颁发机构不受信任,则我们需要判断一下是否是我们自己的自定义证书,是的话就忽略这个错误
- val certificateFactory: CertificateFactory = CertificateFactory.getInstance("X.509")
- val certificate = certificateFactory.generateCertificate(resources.openRawResource(R.raw.xxx)) as X509Certificate
- val mX509CertificateFiled = SslCertificate::class.java.getDeclaredField("mX509Certificate").apply { isAccessible = true }
- val mX509Certificate = mX509CertificateFiled.get(error.certificate) as X509Certificate
- val certificates = HandshakeCertificates.Builder()
- .addTrustedCertificate(certificate) // 信任指定的自定义证书
- .addPlatformTrustedCertificates() // 信任系统的预装证书,如果不信任系统证书的话,比如在访问https://m.baidu.com时将会出错
- .build()
- try {
- certificates.trustManager.checkServerTrusted(arrayOf(mX509Certificate), "RSA")
- Timber.i("是我们的自定义证书")
- handler?.proceed()
- } catch (e: java.lang.Exception) {
- Timber.e(e, "非法证书")
- handler?.cancel()
- }
- }
- } else {
- super.onReceivedSslError(view, handler, error)
- }
- }
- }
主要原理就是把手机当地的自定义证书实例化到代码中,并封装到X509TrustManager对象中,此对方就能用于判断服务器的证书和我们的证书是否是在一个合法的证书链里面的,通过调用error.certificate.x509Certificate得到服务器上的证书,通过trustManager.checkServerTrusted(arrayOf(mX509Certificate), “RSA”)来检查服务器的证书和我们的证书是否是在一个合法的链上的,假如合法就正常通过调用,不合法就抛出异常。
开始我是直接比力当地的证书和服务器的证书是否一样来实现的,后来服务器改了,服务器先天生一个证书,再通过这个证书又署名出另一个证书,证书还能再署名出别的证书,这就是一条链,现在手机端和服务器端上的证书是不一样的了,但是因为他们是在同一个链的,以是也能认证通过,以是这种情况下不能使用比力是否是同一个证书的做法,而是比力是否是同一个链。
比力是否是同一个证书的代码也很简单,如下:
- val isSameCertifiate = certificate == error.certificate.x509Certificate
当服务器端和客户端一个是根证书,一个是由根证书颁发的子证书时,还可以用另一种方法验证,先说明一下证书天生的情况:
一、根证书
- 根公钥
- 根私钥
- 根证书(装有根公钥,使用根私钥署名)
二、中心证书1
- 中心公钥1
- 中心私钥1
- 中心证书1 (装有中心公钥1,并用根私钥署名)
三、中心证书2
- 中心公钥2
- 中心私钥2
- 中心证书2 (装有中心公钥2,并用根私钥署名)
我们知道rsa署名的规则为:私钥署名,对应的公钥验证署名。中心证书1和中心证书2都是用根证书的私钥署名的,以是可使用根证书中的公钥进行验证中心证书1和2中的署名。
反过来就不行了,根证书中的署名无法使用中心证书中的公钥验证,因为根证书的署名不是用中心证书的私钥署名的。
中心证书1的署名也无法用中心证书2的公钥进行验证,因为中心证书1的署名不是使用中心证书2的私钥署名的。
OK,了解了这个原理之后,我们就可以实现在WebView中,使用公钥来验证服务器的证书是否是我们公司的证书。在我们公司的项目中,也存在上面结构的一些证书,根证书放在手机端,中心证书放在了服务器端,以是可以使用根证书的公钥来验证中心证书的署名,假如能验证通过,说明服务器上的证书是可信(不是别人公司的),伪代码如下:
中心证书.验证署名(根证书.公钥),翻译成代码如下:
- middleCert.verifySign(rootCert.publicKey)
- val certificateFactory: CertificateFactory = CertificateFactory.getInstance("X.509")
- val rootCert = certificateFactory.generateCertificate(resources.openRawResource(R.raw.rootCert))
- val middleCert = error.certificate.x509Certificate
- try {
- middleCert.verify(rootCert.publicKey)
- Timber.i("验证通过")
- } catch (e: java.lang.Exception) {
- Timber.e(e,"验证失败")
- }
三、Android6.0及更低版本的CA证书信托处置处罚
=========================================================================================
测试的时间发现上面的设置方法对于Android6.0及更低版本无效,通过了解才知道了原因:
在Android 6.0的时间,在清单文件的application节点中新增了一个属性android:usesCleartextTraffic,含义为“使用明文通讯”,设置为true则为允许使用http(明文)请求,设置为false则不允许使用http请求,只能使用https(加密)请求。
在Android7.0的时间,新增了通过network_security_config.xml的方式来配置https请求。
以是,xml配置https是在7.0的时间才出来的,用到更低的版本上肯定是不见效的,谷歌官网上只是说了在Android6.0的版本时它的默认设置是怎样的,并没有说我们在xml中的设置可以在Android6.0中起作用。
谷哥说的各种版本的https默认配置如下:
Android 9(API 级别 28)及更高版本为目标平台的应用的默认配置如下所示:
- <base-config cleartextTrafficPermitted="false">
- <trust-anchors>
- <certificates src="system" />
- </trust-anchors>
- </base-config>
Android 7.0(API 级别 24)到 Android 8.1(API 级别 27)为目标平台的应用的默认配置如下所示:
- <base-config cleartextTrafficPermitted="true">
- <trust-anchors>
- <certificates src="system" />
- </trust-anchors>
- </base-config>
-
- <base-config cleartextTrafficPermitted="true">
- <trust-anchors>
- <certificates src="system" />
- <certificates src="user" />
- </trust-anchors>
- </base-config>
-
那Android6.0及更低版本应该如那里理呢?看国外文章有说可以使用:https://github.com/datatheorem/TrustKit-Android,该库可使用和高版本的方式一样配置,并兼容低版本,但是我使用时不行,不知道是不是因为我使用的是ip访问,而不是域名方法,它的初始化代码中使用到了域名。
另有另一个库也可以:https://github.com/commonsguy/cwac-netsecurity/blob/master/README-original.markdown
一个可以支持证书的自定义WebView:https://github.com/yonekawa/webview-with-client-certificate
一个很多人讨论的关于WebView中使用自定义证书的事:https://issuetracker.google.com/issues/36917164
实现双向认证:https://blog.csdn.net/kpioneer123/article/details/51491739
https的版本支持:https://blog.csdn.net/ceko_wu/article/details/50954678
末了,照旧通过设置OkHttp来完成低版本的Https认证,如下:
- val builder = OkHttpClient.Builder()
- if (Build.VERSION.SDK_INT < Build.VERSION_CODES.N) {
- val certificateFactory: CertificateFactory = CertificateFactory.getInstance("X.509")
- val certificate = certificateFactory.generateCertificate(resources.openRawResource(R.raw.xxx)) as X509Certificate
- val certificates = HandshakeCertificates.Builder()
- .addTrustedCertificate(certificate) // 信任指定的自定义证书
- .addPlatformTrustedCertificates() // 信任系统的预装证书,如果不信任系统证书的话,比如在访问https://m.baidu.com时将会出错
- .build()
- builder.sslSocketFactory(certificates.sslSocketFactory(), certificates.trustManager)
- }
- val okHttpClient = builder.build()
谷歌官方实现链接:https://developer.android.google.cn/training/articles/security-ssl#UnknownCa ,因为没有用到OkHttp,以是会贫苦一些。代码如下:
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
