Android Https和WebView

系统会提示说不安全,因为网站通过js就能调用你的android代码,如果你确认你的网站没用到JS的话就不要打开这个开关,如果用到了,就添加一个注解忽略它就行了。

后来就使用我们公司的网站了,发现也出不来,后来发现公司网站用到了dom存储,所以还需要打开这个开关:

webView.settings.domStorageEnabled = true

xml配置自定义证书对WebView也是生效的,但是我们上面也说了,xml配置的方式只对Android7.0或更高版本才有用,那在低版本中如何让WebView信任自定义证书呢?网上的答案是直接忽略证书,如下:

webView.webViewClient = object: WebViewClient() {override fun onReceivedSslError(view: WebView?, handler: SslErrorHandler?, error: SslError) {handler?.proceed()}

这个onReceivedSslError函数默认是调用handler.cancel()来处理SSL错误的,调用cancel即表示不与服务器进行通信,调用proceed即表示要与服务器通信(虽然证书有问题)。

这样的做法是不安全的,而且这样的代码也无法把app上传到谷歌市场,因为必须要有对应的cancel调用,说白了就是要我们自己去验证证书的合法性,合法就调用proceed,否则调用cancel,代码如下(用到了OkHttp的相关类):

webView.webViewClient = object: WebViewClient() {override fun onReceivedSslError(view: WebView?, handler: SslErrorHandler?, error: SslError) {val message =  when (error.primaryError) {SslError.SSL_DATE_INVALID -> "证书日期无效"SslError.SSL_EXPIRED -> "证书已过期。"SslError.SSL_IDMISMATCH -> "主机名不匹配。"SslError.SSL_INVALID -> "发生一般错误"SslError.SSL_MAX_ERROR -> "不同SSL错误的数量。"SslError.SSL_NOTYETVALID -> "证书尚未生效。"SslError.SSL_UNTRUSTED -> "证书颁发机构不受信任。" // 自定义证书会执行到这个分支来else -> "SSL证书错误,错误码:${error.primaryError}"}Timber.i("SSL错误:$message")if (error.primaryError == SslError.SSL_UNTRUSTED) {// 证书颁发机构不受信任,则我们需要判断一下是否是我们自己的自定义证书,是的话就忽略这个错误val certificateFactory: CertificateFactory = CertificateFactory.getInstance("X.509")val certificate = certificateFactory.generateCertificate(resources.openRawResource(R.raw.xxx)) as X509Certificateval mX509CertificateFiled = SslCertificate::class.java.getDeclaredField("mX509Certificate").apply { isAccessible = true }val mX509Certificate = mX509CertificateFiled.get(error.certificate) as X509Certificateval certificates = HandshakeCertificates.Builder().addTrustedCertificate(certificate) // 信任指定的自定义证书.addPlatformTrustedCertificates()  // 信任系统的预装证书,如果不信任系统证书的话,比如在访问https://m.baidu.com时将会出错.build()try {certificates.trustManager.checkServerTrusted(arrayOf(mX509Certificate), "RSA")Timber.i("是我们的自定义证书")handler?.proceed()} catch (e: java.lang.Exception) {Timber.e(e, "非法证书")handler?.cancel()}}} else {super.onReceivedSslError(view, handler, error)}}}

上面代码做了版本判断,因为Android7.0或以上版本直接使用xml中的配置。

主要原理就是把手机本地的自定义证书实例化到代码中,并封装到X509TrustManager对象中,此对方就能用于判断服务器的证书和我们的证书是否是在一个合法的证书链里面的,通过调用error.certificate.x509Certificate得到服务器上的证书,通过trustManager.checkServerTrusted(arrayOf(mX509Certificate), “RSA”)来检查服务器的证书和我们的证书是否是在一个合法的链上的,如果合法就正常通过调用,不合法就抛出异常。

开始我是直接比较本地的证书和服务器的证书是否一样来实现的,后来服务器改了,服务器先生成一个证书,再通过这个证书又签名出另一个证书,证书还能再签名出别的证书,这就是一条链,现在手机端和服务器端上的证书是不一样的了,但是因为他们是在同一个链的,所以也能认证通过,所以这种情况下不能使用比较是否是同一个证书的做法,而是比较是否是同一个链。

比较是否是同一个证书的代码也很简单,如下:

val isSameCertifiate = certificate == error.certificate.x509Certificate

这里用的是kotlin语言,实现是调用equals方法比较的,equals方法中的实现是把证书读取为编码后的字节数据,然后比较两个数组是否一样。

当服务器端和客户端一个是根证书,一个是由根证书颁发的子证书时,还可以用另一种方法验证,先说明一下证书生成的情况:

一、根证书

  • 根公钥

  • 根私钥

  • 根证书(装有根公钥,使用根私钥签名)

二、中间证书1

  • 中间公钥1

  • 中间私钥1

  • 中间证书1 (装有中间公钥1,并用根私钥签名)

三、中间证书2

  • 中间公钥2

  • 中间私钥2

  • 中间证书2 (装有中间公钥2,并用根私钥签名)

我们知道rsa签名的规则为:私钥签名,对应的公钥验证签名。中间证书1和中间证书2都是用根证书的私钥签名的,所以可使用根证书中的公钥进行验证中间证书1和2中的签名。

反过来就不行了,根证书中的签名无法使用中间证书中的公钥验证,因为根证书的签名不是用中间证书的私钥签名的。

中间证书1的签名也无法用中间证书2的公钥进行验证,因为中间证书1的签名不是使用中间证书2的私钥签名的。

OK,了解了这个原理之后,我们就可以实现在WebView中,使用公钥来验证服务器的证书是否是我们公司的证书。在我们公司的项目中,也存在上面结构的一些证书,根证书放在手机端,中间证书放在了服务器端,所以可以使用根证书的公钥来验证中间证书的签名,如果能验证通过,说明服务器上的证书是可信(不是别人公司的),伪代码如下:

中间证书.验证签名(根证书.公钥),翻译成代码如下:

middleCert.verifySign(rootCert.publicKey)

真实代码如下:

val certificateFactory: CertificateFactory = CertificateFactory.getInstance("X.509")val rootCert = certificateFactory.generateCertificate(resources.openRawResource(R.raw.rootCert))val middleCert = error.certificate.x509Certificatetry {middleCert.verify(rootCert.publicKey)Timber.i("验证通过")} catch (e: java.lang.Exception) {Timber.e(e,"验证失败")}

中间证书也可能会颁发子证书,但是只能使用父证书的公钥来验证子证书的签名,反过来就不行。

三、Android6.0及更低版本的CA证书信任处理

=========================================================================================

测试的时候发现上面的设置方法对于Android6.0及更低版本无效,通过了解才知道了原因:

在Android 6.0的时候,在清单文件的application节点中新增了一个属性android:usesCleartextTraffic,含义为“使用明文通信”,设置为true则为允许使用http(明文)请求,设置为false则不允许使用http请求,只能使用https(加密)请求。

在Android7.0的时候,新增了通过network_security_config.xml的方式来配置https请求。

所以,xml配置https是在7.0的时候才出来的,用到更低的版本上肯定是不生效的,谷歌官网上只是说了在Android6.0的版本时它的默认设置是怎样的,并没有说我们在xml中的设置可以在Android6.0中起作用。

谷哥说的各种版本的https默认配置如下:

Android 9(API 级别 28)及更高版本为目标平台的应用的默认配置如下所示:

    <base-config cleartextTrafficPermitted="false"><trust-anchors><certificates src="system" /></trust-anchors></base-config>

可以看到,当你在gradle中把目标版本设置为false时,默认的https配置是不允许使用明文通信的(http通信),而且默认信任系统类型的预装CA证书。所以,当我们他创建一个新项目的时候,默认目标版本都29或30或更高,我们声明了网络访问权限,确发现访问http时访问不了,就是因为默认不允许使用http了,如果你坚持想要使用http(明文通信),则可以把cleartextTrafficPermitted设置为true即可。

Android 7.0(API 级别 24)到 Android 8.1(API 级别 27)为目标平台的应用的默认配置如下所示:

    <base-config cleartextTrafficPermitted="true"><trust-anchors><certificates src="system" /></trust-anchors></base-config>

以 Android 6.0(API 级别 23)及更低版本为目标平台的应用的默认配置如下所示:

    <base-config cleartextTrafficPermitted="true"><trust-anchors><certificates src="system" /><certificates src="user" /></trust-anchors></base-config>

这只是说明Android6.0中关于https的默认行为配置是这样的,并不等于你可以在xml中修改一下就能修改到这些配置,因为在Android6.0的时候还没有使用xml进行配置的方式。

那Android6.0及更低版本应该如何处理呢?看国外文章有说可以使用:https://github.com/datatheorem/TrustKit-Android,该库可使用和高版本的方式一样配置,并兼容低版本,但是我使用时不行,不知道是不是因为我使用的是ip访问,而不是域名方法,它的初始化代码中使用到了域名。

还有另一个库也可以:https://github.com/commonsguy/cwac-netsecurity/blob/master/README-original.markdown

一个可以支持证书的自定义WebView:https://github.com/yonekawa/webview-with-client-certificate

一个很多人讨论的关于WebView中使用自定义证书的事:https://issuetracker.google.com/issues/36917164

实现双向认证:https://blog.csdn.net/kpioneer123/article/details/51491739

https的版本支持:https://blog.csdn.net/ceko_wu/article/details/50954678

最后,还是通过设置OkHttp来完成低版本的Https认证,如下:

val builder = OkHttpClient.Builder()if (Build.VERSION.SDK_INT < Build.VERSION_CODES.N) {val certificateFactory: CertificateFactory = CertificateFactory.getInstance("X.509")val certificate = certificateFactory.generateCertificate(resources.openRawResource(R.raw.xxx)) as X509Certificateval certificates = HandshakeCertificates.Builder().addTrustedCertificate(certificate) // 信任指定的自定义证书.addPlatformTrustedCertificates()  // 信任系统的预装证书,如果不信任系统证书的话,比如在访问https://m.baidu.com时将会出错.build()builder.sslSocketFactory(certificates.sslSocketFactory(), certificates.trustManager)}val okHttpClient = builder.build()

这里也做了版本判断,因为Android7.0或以上版本直接使用xml中的配置即可。

谷歌官方实现链接:https://developer.android.google.cn/training/articles/security-ssl#UnknownCa ,因为没有用到OkHttp,所以会麻烦一些。代码如下:

    // Load CAs from an InputStream// (could be from a resource or ByteArrayInputStream or ...)val cf: CertificateFactory = CertificateFactory.getInstance("X.509")// From https://www.washington.edu/itconnect/security/ca/load-der.crtval caInput: InputStream = BufferedInputStream(FileInputStream("load-der.crt"))val ca: X509Certificate = caInput.use {cf.generateCertificate(it) as X509Certificate}System.out.println("ca=" + ca.subjectDN)// Create a KeyStore containing our trusted CAsval keyStoreType = KeyStore.getDefaultType()val keyStore = KeyStore.getInstance(keyStoreType).apply {load(null, null)setCertificateEntry("ca", ca)}// Create a TrustManager that trusts the CAs inputStream our KeyStoreval tmfAlgorithm: String = TrustManagerFactory.getDefaultAlgorithm()val tmf: TrustManagerFactory = TrustManagerFactory.getInstance(tmfAlgorithm).apply {init(keyStore)}// Create an SSLContext that uses our TrustManagerval context: SSLContext = SSLContext.getInstance("TLS").apply {init(null, tmf.trustManagers, null)}// Tell the URLConnection to use a SocketFactory from our SSLContext### 总结**其实上面说了这么多,钱是永远赚不完的,在这个知识付费的时代,知识技能提升才是是根本!我作为一名8年的高级工程师,知识技能已经学习的差不多。**在看这篇文章的可能有刚刚入门,刚刚开始工作,或者大佬级人物。像刚刚开始学Android开发小白想要快速提升自己,最快捷的方式,就是有人可以带着你一起分析,这样学习起来最为高效,所以这里分享一套高手学习的源码和框架视频等精品Android架构师教程,保证你学了以后保证薪资上升一个台阶。**这么重要的事情说三遍啦!点赞+点赞+点赞!**
![](https://img-blog.csdnimg.cn/img_convert/c86a2d9c0c46b2220dbee7dc1d966e99.webp?x-oss-process=image/format,png)### 【Android高级架构师系统学习资料】高级架构师进阶必备——设计思想解读开源框架  第一章、热修复设计
第二章、插件化框架设计
第三章、组件化框架设计
第四章、图片加载框架
第五章、网络访问框架设计
第六章、RXJava 响应式编程框架设计
第七章、IOC 架构设计
第八章、Android 架构组件 Jetpack![](https://img-blog.csdnimg.cn/img_convert/587911bde19cae184ea2c3adf9d00604.webp?x-oss-process=image/format,png)**其实上面说了这么多,钱是永远赚不完的,在这个知识付费的时代,知识技能提升才是是根本!我作为一名8年的高级工程师,知识技能已经学习的差不多。**在看这篇文章的可能有刚刚入门,刚刚开始工作,或者大佬级人物。像刚刚开始学Android开发小白想要快速提升自己,最快捷的方式,就是有人可以带着你一起分析,这样学习起来最为高效,所以这里分享一套高手学习的源码和框架视频等精品Android架构师教程,保证你学了以后保证薪资上升一个台阶。**这么重要的事情说三遍啦!点赞+点赞+点赞!**
[外链图片转存中...(img-iCJIARD3-1725987912059)]### 【Android高级架构师系统学习资料】高级架构师进阶必备——设计思想解读开源框架  第一章、热修复设计
第二章、插件化框架设计
第三章、组件化框架设计
第四章、图片加载框架
第五章、网络访问框架设计
第六章、RXJava 响应式编程框架设计
第七章、IOC 架构设计
第八章、Android 架构组件 Jetpack[外链图片转存中...(img-iEHUuRjX-1725987912060)]

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/494388.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Go怎么做性能优化工具篇之基准测试

一、什么是基准测试&#xff08;Benchmark&#xff09; 在 Go 中&#xff0c;基准测试是通过创建以 Benchmark 开头的函数&#xff0c;并接收一个 *testing.B 类型的参数来实现的。testing.B 提供了控制基准测试执行的接口&#xff0c;比如设置测试执行的次数、记录每次执行的…

vulnhub靶场【WhowWantsToBeKing】之1

前言 靶机&#xff1a;whowantstobeking-1&#xff0c;ip地址192.168.1.67 攻击&#xff1a;kali &#xff0c;ip地址192.168.1.16 主机发现 使用arp-sacn -l或者netdiscover -r 192.168.1.1/24扫描 信息收集 使用nmap扫描端口 网站信息探测 访问80端口默认界面&#xff…

Java/JDK下载、安装及环境配置超详细教程【Windows10、macOS和Linux图文详解】

JAVA最新版JDK 23 安装教程详解 Java Development Kit (JDK) 23 是Oracle发布的最新长期支持版本 (LTS) 之一&#xff0c;它带来了许多新特性和改进。 本教程将详细介绍如何在Windows、macOS和Linux系统上安装JDK 23&#xff0c;并涵盖一些常见问题和解决方法。 一、 准备工作…

set的使用

文章目录 一、关联式容器二、set1、set的介绍2、set的使用2.1、元素的插入&#xff08;insert接口&#xff09;2.2、pair的简单讲解2.3、元素的查找&#xff08;find接口&#xff09;2.4、判断元素是否在set中&#xff08;count接口&#xff09;2.5、元素的删除&#xff08;era…

[Xshell] Xshell的下载安装使用、连接linux、 上传文件到linux系统-详解(附下载链接)

前言 xshell 链接&#xff1a;https://pan.quark.cn/s/57062561e81a 提取码&#xff1a;TK4K 链接失效&#xff08;可能被官方和谐&#xff09;可评论或私信我重发 安装 下载后解压得到文件 安装路径不要有中文 打开文件 注意&#xff01;360等软件会拦截创建注册表的行为&a…

基于蜂鸟视图的智慧可视化巡检管理系统研究

摘要 本文围绕蜂鸟视图研发的智慧可视化巡检管理系统展开研究&#xff0c;系统依托室内地图和室内定位技术&#xff0c;覆盖“规划、巡场、检查、上报”的完整业务流程。核心功能包括基于蓝牙定位的巡检点位置验证、可视化巡场地图的在线规划与导航、以及巡检路线轨迹的回放分析…

GUI07-学工具栏,懂MVC

MVC模式&#xff0c;是天底下编写GUI程序最为经典、实效的一种软件架构模式。当一个人学完菜单栏、开始学习工具栏时&#xff0c;就是他的一生中&#xff0c;最适合开始认识 MVC 模式的好时机之一。这节将安排您学习&#xff1a; Model-View-Controller 模式如何创建工具栏以及…

Chrome 关闭自动添加https

Open Chrome and go to “chrome://net-internals/#hsts”

重拾设计模式--外观模式

文章目录 外观模式&#xff08;Facade Pattern&#xff09;概述定义 外观模式UML图作用 外观模式的结构C 代码示例1C代码示例2总结 外观模式&#xff08;Facade Pattern&#xff09;概述 定义 外观模式是一种结构型设计模式&#xff0c;它为子系统中的一组接口提供了一个统一…

gitlab代码推送

点击这个√ 修改的文件全部选上 填好提交的名称 点击commit 选取提交的 gitlab 库 点击Push

echarts画风向杆

1.安装echarts 2.引入echarts 4.获取数据&#xff0c;转换数据格式 windProfile.title.text ${moment(time.searchTime[0], ‘YYYY-MM-DD HH:mm:ss’).format( ‘YYYY-MM-DD HH:mm’ )}-${moment(time.searchTime[1], ‘YYYY-MM-DD HH:mm:ss’).format(‘YYYY-MM-DD HH:mm’)…

Java字符串的|分隔符转List实现方案

字符串处理 问题背景代码实现代码优化原因分析实现方案 注意事项异常处理Maven未识别异常 问题背景 在项目组对账流程中&#xff0c;接收对方系统的对账文件&#xff0c;数据以|为分隔符&#xff0c;读取文件内容&#xff0c;分条入库。 代码实现 Java中将字符串转给list&am…

「Mac畅玩鸿蒙与硬件47」UI互动应用篇24 - 虚拟音乐控制台

本篇将带你实现一个虚拟音乐控制台。用户可以通过界面控制音乐的播放、暂停、切换歌曲&#xff0c;并查看当前播放的歌曲信息。页面还支持调整音量和动态显示播放进度&#xff0c;是音乐播放器界面开发的基础功能示例。 关键词 UI互动应用音乐控制播放控制动态展示状态管理按钮…

iOS从Matter的设备认证证书中获取VID和PID

设备认证证书也叫 DAC, 相当于每个已经认证的设备的标识。包含了 VID 和 PID. 根据 Matter 对于设备证书的规定&#xff0c;DAC证书subject应该包含VID 和 PID. 可通过解析 X509 证书读取subject 来获得信息。 1 通过 SPM 添加X509 git地址&#xff1a;https://github.com/ap…

计算机毕业设计PyFlink+Hadoop广告推荐系统 广告预测 广告数据分析可视化 广告爬虫 大数据毕业设计 Spark Hive 深度学习 机器学

温馨提示&#xff1a;文末有 CSDN 平台官方提供的学长联系方式的名片&#xff01; 温馨提示&#xff1a;文末有 CSDN 平台官方提供的学长联系方式的名片&#xff01; 温馨提示&#xff1a;文末有 CSDN 平台官方提供的学长联系方式的名片&#xff01; 作者简介&#xff1a;Java领…

(2024.12)Ubuntu20.04安装openMVS<成功>.colmap<成功>和openMVG<失败>记录

一、安装openMVS 官方文档&#xff1a;https://github.com/cdcseacave/openMVS/wiki/Building sudo apt-get -y install git mercurial cmake libpng-dev libjpeg-dev libtiff-dev libglu1-mesa-dev eigen git clone https://gitlab.com/libeigen/eigen --branch 3.4 mkdi…

UE5 猎户座漂浮小岛 12 技能 瞬移 重力控制

1. 瞬移 1.1. 显示鼠标光标 “事件开始运行”添加显示鼠标逻辑 1.2. 释放技能蓝图 设置技能键 编写蓝图 1.3. 瞬移最大距离 2. 重力控制 2.1. 添加输入与动画 映射 重定向得到动画 新增状态FIRE_GracityControl 设置动画姿势 新增变量 切换动画 2.2. 技能蓝图&#xff08;…

叉车作业如何确认安全距离——UWB测距防撞系统的应用

叉车在工业环境中运行&#xff0c;常常需要在狭窄的空间内完成货物的搬运和堆垛&#xff0c;这对操作员的技术水平和安全意识提出了极高的要求。传统的叉车作业依赖操作员的经验和视觉判断来确认安全距离&#xff0c;然而这种方式往往存在误差&#xff0c;特别是在视线受阻或光…

深度学习每周学习总结J9(Inception V3 算法实战与解析 - 天气识别)

&#x1f368; 本文为&#x1f517;365天深度学习训练营 中的学习记录博客&#x1f356; 原作者&#xff1a;K同学啊 | 接辅导、项目定制 目录 0. 总结Inception V1 简介Inception V3 简介1. 设置GPU2. 导入数据及处理部分3. 划分数据集4. 模型构建部分5. 设置超参数&#xff1…

记录仪方案_记录仪安卓主板定制_音视频记录仪PCBA定制开发

记录仪主板采用了强大的联发科MTK8768处理器&#xff0c;拥有出色的性能表现。它搭载了四个主频为2.0GHz的Cortex-A53核心与四个主频为1.5GHz的Cortex-A53核心&#xff0c;确保了高效的处理速度。此外&#xff0c;主板配备了4GB的RAM(可选8GB)&#xff0c;并且内置64GB的ROM(可…