总结
最后为了帮助大家深刻理解Android相关知识点的原理以及面试相关知识,这里放上相关的我搜集整理的14套腾讯、字节跳动、阿里、百度等2021面试真题解析,我把技术点整理成了视频和PDF(实际上比预期多花了不少精力),包知识脉络 + 诸多细节。
网上学习 Android的资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。希望这份系统化的技术体系对大家有一个方向参考。
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
方式二:
<?xml version="1.0" encoding="utf-8"?>baidu.com
注:我们公司使用的是内网,又没有dns服务器,所以访问api接口都是直接使用ip的,所以上面的baidu.com的地方可以直接修改成ip地址,那个证书里面是要设置一个域名的,同时还要设置对应的ip,对应的ip可以设置多个的,如果证书里面没有指定的ip,则这个证书是无效的,使用时会报错。
这两种方式的区别,方式二使用domain-config限制了baidu.com或它的子域名都信任我们指定的xxx证书,而方式一使用base-config则表示应用的访问的所有域名的资源都信任我们指定的xxx证书。要按安全性来说的话首先方式二,就为它的限制更高一些。
用于配置我们要信任什么证书,直接使用@raw/xxx为配置信任自定义的证书,如果要指定信任预安装的证书,需要另外指定,预安装的证书有系统和用户两种类型,如下:
<?xml version="1.0" encoding="utf-8"?>
可以看到,我们可以指定信任多个证书,或者某一类型的证书(如预装的系统证书),这是使用方式一的好处,而使用方式二,一个domain-config中或以指定多个domain,但是这一个或多个domain只能指定信任一个指定的证书。如果不同的网站信任不同的证书,则可以配置多个domain-config标签来实现。
在Android6.0及以下版本默认是会信任用户安装的CA证书的,7.0及更高版本默认就只信任预装的系统CA证书了,所以我们最好不要配置信任用户安装的CA证书,因为有可能黑客往手机装了一个证书进去呢!
假如我们希望配置我们指定的网站只能使用https,而其他网站可以使用明文http,而且也信任系统证书,配置如下:
<?xml version="1.0" encoding="utf-8"?><base-config cleartextTrafficPermitted=“true”
tools:ignore=“InsecureBaseConfiguration”>
xxx.com
在Android10中测试,如果不指定信任系统证书的话,WebView加载https网站是没问题的,但是OkHttp请求Https时就会报异常。
==================================================================================
配置好Https之后当然要测试一下了,我就随便拿了个百度(https://m.baidu.com)来试,OkHttp请求是没问题的,但是WebView加载出不了,后来发现百度里面用到了JS,所以需要允许JS,如下:
webView.settings.javaScriptEnabled = true
系统会提示说不安全,因为网站通过js就能调用你的android代码,如果你确认你的网站没用到JS的话就不要打开这个开关,如果用到了,就添加一个注解忽略它就行了。
后来就使用我们公司的网站了,发现也出不来,后来发现公司网站用到了dom存储,所以还需要打开这个开关:
webView.settings.domStorageEnabled = true
xml配置自定义证书对WebView也是生效的,但是我们上面也说了,xml配置的方式只对Android7.0或更高版本才有用,那在低版本中如何让WebView信任自定义证书呢?网上的答案是直接忽略证书,如下:
webView.webViewClient = object: WebViewClient() {
override fun onReceivedSslError(view: WebView?, handler: SslErrorHandler?, error: SslError) {
handler?.proceed()
}
这个onReceivedSslError函数默认是调用handler?.cancel()来处理SSL错误的,调用cancel即表示不与服务器进行通信,调用proceed即表示要与服务器通信(虽然证书有问题)。
这样的做法是不安全的,而且这样的代码也无法把app上传到谷歌市场,因为必须要有对应的cancel调用,说白了就是要我们自己去验证证书的合法性,合法就调用proceed,否则调用cancel,代码如下(用到了OkHttp的相关类):
webView.webViewClient = object: WebViewClient() {
override fun onReceivedSslError(view: WebView?, handler: SslErrorHandler?, error: SslError) {
val message = when (error.primaryError) {
SslError.SSL_DATE_INVALID -> “证书日期无效”
SslError.SSL_EXPIRED -> “证书已过期。”
SslError.SSL_IDMISMATCH -> “主机名不匹配。”
SslError.SSL_INVALID -> “发生一般错误”
SslError.SSL_MAX_ERROR -> “不同SSL错误的数量。”
SslError.SSL_NOTYETVALID -> “证书尚未生效。”
SslError.SSL_UNTRUSTED -> “证书颁发机构不受信任。” // 自定义证书会执行到这个分支来
else -> “SSL证书错误,错误码:${error.primaryError}”
}
Timber.i(“SSL错误:$message”)
if (error.primaryError == SslError.SSL_UNTRUSTED) {
// 证书颁发机构不受信任,则我们需要判断一下是否是我们自己的自定义证书,是的话就忽略这个错误
val certificateFactory: CertificateFactory = CertificateFactory.getInstance(“X.509”)
val certificate = certificateFactory.generateCertificate(resources.openRawResource(R.raw.xxx)) as X509Certificate
val mX509CertificateFiled = SslCertificate::class.java.getDeclaredField(“mX509Certificate”).apply { isAccessible = true }
val mX509Certificate = mX509CertificateFiled.get(error.certificate) as X509Certificate
val certificates = HandshakeCertificates.Builder()
.addTrustedCertificate(certificate) // 信任指定的自定义证书
.addPlatformTrustedCertificates() // 信任系统的预装证书,如果不信任系统证书的话,比如在访问https://m.baidu.com时将会出错
.build()
try {
certificates.trustManager.checkServerTrusted(arrayOf(mX509Certificate), “RSA”)
Timber.i(“是我们的自定义证书”)
handler?.proceed()
} catch (e: java.lang.Exception) {
Timber.e(e, “非法证书”)
handler?.cancel()
}
}
} else {
super.onReceivedSslError(view, handler, error)
}
}
}
上面代码做了版本判断,因为Android7.0或以上版本直接使用xml中的配置。
主要原理就是把手机本地的自定义证书实例化到代码中,并封装到X509TrustManager对象中,此对方就能用于判断服务器的证书和我们的证书是否是在一个合法的证书链里面的,通过调用error.certificate.x509Certificate得到服务器上的证书,通过trustManager.checkServerTrusted(arrayOf(mX509Certificate), “RSA”)来检查服务器的证书和我们的证书是否是在一个合法的链上的,如果合法就正常通过调用,不合法就抛出异常。
开始我是直接比较本地的证书和服务器的证书是否一样来实现的,后来服务器改了,服务器先生成一个证书,再通过这个证书又签名出另一个证书,证书还能再签名出别的证书,这就是一条链,现在手机端和服务器端上的证书是不一样的了,但是因为他们是在同一个链的,所以也能认证通过,所以这种情况下不能使用比较是否是同一个证书的做法,而是比较是否是同一个链。
比较是否是同一个证书的代码也很简单,如下:
val isSameCertifiate = certificate == error.certificate.x509Certificate
这里用的是kotlin语言,实现是调用equals方法比较的,equals方法中的实现是把证书读取为编码后的字节数据,然后比较两个数组是否一样。
当服务器端和客户端一个是根证书,一个是由根证书颁发的子证书时,还可以用另一种方法验证,先说明一下证书生成的情况:
一、根证书
-
根公钥
-
根私钥
-
根证书(装有根公钥,使用根私钥签名)
二、中间证书1
-
中间公钥1
-
中间私钥1
-
中间证书1 (装有中间公钥1,并用根私钥签名)
三、中间证书2
-
中间公钥2
-
中间私钥2
-
中间证书2 (装有中间公钥2,并用根私钥签名)
我们知道rsa签名的规则为:私钥签名,对应的公钥验证签名。中间证书1和中间证书2都是用根证书的私钥签名的,所以可使用根证书中的公钥进行验证中间证书1和2中的签名。
反过来就不行了,根证书中的签名无法使用中间证书中的公钥验证,因为根证书的签名不是用中间证书的私钥签名的。
中间证书1的签名也无法用中间证书2的公钥进行验证,因为中间证书1的签名不是使用中间证书2的私钥签名的。
OK,了解了这个原理之后,我们就可以实现在WebView中,使用公钥来验证服务器的证书是否是我们公司的证书。在我们公司的项目中,也存在上面结构的一些证书,根证书放在手机端,中间证书放在了服务器端,所以可以使用根证书的公钥来验证中间证书的签名,如果能验证通过,说明服务器上的证书是可信(不是别人公司的),伪代码如下:
中间证书.验证签名(根证书.公钥),翻译成代码如下:
middleCert.verifySign(rootCert.publicKey)
真实代码如下:
val certificateFactory: CertificateFactory = CertificateFactory.getInstance(“X.509”)
val rootCert = certificateFactory.generateCertificate(resources.openRawResource(R.raw.rootCert))
val middleCert = error.certificate.x509Certificate
try {
middleCert.verify(rootCert.publicKey)
Timber.i(“验证通过”)
} catch (e: java.lang.Exception) {
Timber.e(e,“验证失败”)
}
中间证书也可能会颁发子证书,但是只能使用父证书的公钥来验证子证书的签名,反过来就不行。
=========================================================================================
测试的时候发现上面的设置方法对于Android6.0及更低版本无效,通过了解才知道了原因:
在Android 6.0的时候,在清单文件的application节点中新增了一个属性android:usesCleartextTraffic,含义为“使用明文通信”,设置为true则为允许使用http(明文)请求,设置为false则不允许使用http请求,只能使用https(加密)请求。
在Android7.0的时候,新增了通过network_security_config.xml的方式来配置https请求。
所以,xml配置https是在7.0的时候才出来的,用到更低的版本上肯定是不生效的,谷歌官网上只是说了在Android6.0的版本时它的默认设置是怎样的,并没有说我们在xml中的设置可以在Android6.0中起作用。
谷哥说的各种版本的https默认配置如下:
Android 9(API 级别 28)及更高版本为目标平台的应用的默认配置如下所示:
可以看到,当你在gradle中把目标版本设置为false时,默认的https配置是不允许使用明文通信的(http通信),而且默认信任系统类型的预装CA证书。所以,当我们他创建一个新项目的时候,默认目标版本都29或30或更高,我们声明了网络访问权限,确发现访问http时访问不了,就是因为默认不允许使用http了,如果你坚持想要使用http(明文通信),则可以把cleartextTrafficPermitted设置为true即可。
Android 7.0(API 级别 24)到 Android 8.1(API 级别 27)为目标平台的应用的默认配置如下所示:
最后
分享一份工作1到5年以上的Android程序员架构进阶学习路线体系,希望能对那些还在从事Android开发却还不知道如何去提升自己的,还处于迷茫的朋友!
-
阿里P7级Android架构师技术脑图;查漏补缺,体系化深入学习提升
-
**全套体系化高级架构视频;**七大主流技术模块,视频+源码+笔记
有任何问题,欢迎广大网友一起来交流
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
最后
分享一份工作1到5年以上的Android程序员架构进阶学习路线体系,希望能对那些还在从事Android开发却还不知道如何去提升自己的,还处于迷茫的朋友!
-
阿里P7级Android架构师技术脑图;查漏补缺,体系化深入学习提升
[外链图片转存中…(img-MUshPNlB-1715875894514)]
-
**全套体系化高级架构视频;**七大主流技术模块,视频+源码+笔记
[外链图片转存中…(img-bWLpW8Ni-1715875894515)]
有任何问题,欢迎广大网友一起来交流
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
1154
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
