系统会提示说不安全,因为网站通过js就能调用你的android代码,如果你确认你的网站没用到JS的话就不要打开这个开关,如果用到了,就添加一个注解忽略它就行了。
后来就使用我们公司的网站了,发现也出不来,后来发现公司网站用到了dom存储,所以还需要打开这个开关:
webView.settings.domStorageEnabled = true
xml配置自定义证书对WebView也是生效的,但是我们上面也说了,xml配置的方式只对Android7.0或更高版本才有用,那在低版本中如何让WebView信任自定义证书呢?网上的答案是直接忽略证书,如下:
webView.webViewClient = object: WebViewClient() {
override fun onReceivedSslError(view: WebView?, handler: SslErrorHandler?, error: SslError) {
handler?.proceed()
}
这个onReceivedSslError函数默认是调用handler?.cancel()来处理SSL错误的,调用cancel即表示不与服务器进行通信,调用proceed即表示要与服务器通信(虽然证书有问题)。
这样的做法是不安全的,而且这样的代码也无法把app上传到谷歌市场,因为必须要有对应的cancel调用,说白了就是要我们自己去验证证书的合法性,合法就调用proceed,否则调用cancel,代码如下(用到了OkHttp的相关类):
webView.webViewClient = object: WebViewClient() {
override fun onReceivedSslError(view: WebView?, handler: SslErrorHandler?, error: SslError) {
val message = when (error.primaryError) {
SslError.SSL_DATE_INVALID -> “证书日期无效”
SslError.SSL_EXPIRED -> “证书已过期。”
SslError.SSL_IDMISMATCH -> “主机名不匹配。”
SslError.SSL_INVALID -> “发生一般错误”
SslError.SSL_MAX_ERROR -> “不同SSL错误的数量。”
SslError.SSL_NOTYETVALID -> “证书尚未生效。”
SslError.SSL_UNTRUSTED -> “证书颁发机构不受信任。” // 自定义证书会执行到这个分支来
else -> “SSL证书错误,错误码:${error.primaryError}”
}
Timber.i(“SSL错误:$message”)
if (error.primaryError == SslError.SSL_UNTRUSTED) {
// 证书颁发机构不受信任,则我们需要判断一下是否是我们自己的自定义证书,是的话就忽略这个错误
val certificateFactory: CertificateFactory = CertificateFactory.getInstance(“X.509”)
val certificate = certificateFactory.generateCertificate(resources.openRawResource(R.raw.xxx)) as X509Certificate
val mX509CertificateFiled = SslCertificate::class.java.getDeclaredField(“mX509Certificate”).apply { isAccessible = true }
val mX509Certificate = mX509CertificateFiled.get(error.certificate) as X509Certificate
val certificates = HandshakeCertificates.Builder()
.addTrustedCertificate(certificate) // 信任指定的自定义证书
.addPlatformTrustedCertificates() // 信任系统的预装证书,如果不信任系统证书的话,比如在访问https://m.baidu.com时将会出错
.build()
try {
certificates.trustManager.checkServerTrusted(arrayOf(mX509Certificate), “RSA”)
Timber.i(“是我们的自定义证书”)
handler?.proceed()
} catch (e: java.lang.Exception) {
Timber.e(e, “非法证书”)
handler?.cancel()
}
}
} else {
super.onReceivedSslError(view, handler, error)
}
}
}
上面代码做了版本判断,因为Android7.0或以上版本直接使用xml中的配置。
主要原理就是把手机本地的自定义证书实例化到代码中,并封装到X509TrustManager对象中,此对方就能用于判断服务器的证书和我们的证书是否是在一个合法的证书链里面的,通过调用error.certificate.x509Certificate得到服务器上的证书,通过trustManager.checkServerTrusted(arrayOf(mX509Certificate), “RSA”)来检查服务器的证书和我们的证书是否是在一个合法的链上的,如果合法就正常通过调用,不合法就抛出异常。
开始我是直接比较本地的证书和服务器的证书是否一样来实现的,后来服务器改了,服务器先生成一个证书,再通过这个证书又签名出另一个证书,证书还能再签名出别的证书,这就是一条链,现在手机端和服务器端上的证书是不一样的了,但是因为他们是在同一个链的,所以也能认证通过,所以这种情况下不能使用比较是否是同一个证书的做法,而是比较是否是同一个链。
比较是否是同一个证书的代码也很简单,如下:
val isSameCertifiate = certificate == error.certificate.x509Certificate
这里用的是kotlin语言,实现是调用equals方法比较的,equals方法中的实现是把证书读取为编码后的字节数据,然后比较两个数组是否一样。
当服务器端和客户端一个是根证书,一个是由根证书颁发的子证书时,还可以用另一种方法验证,先说明一下证书生成的情况:
一、根证书
-
根公钥
-
根私钥
-
根证书(装有根公钥,使用根私钥签名)
二、中间证书1
-
中间公钥1
-
中间私钥1
-
中间证书1 (装有中间公钥1,并用根私钥签名)
三、中间证书2
-
中间公钥2
-
中间私钥2
-
中间证书2 (装有中间公钥2,并用根私钥签名)
我们知道rsa签名的规则为:私钥签名,对应的公钥验证签名。中间证书1和中间证书2都是用根证书的私钥签名的,所以可使用根证书中的公钥进行验证中间证书1和2中的签名。
反过来就不行了,根证书中的签名无法使用中间证书中的公钥验证,因为根证书的签名不是用中间证书的私钥签名的。
中间证书1的签名也无法用中间证书2的公钥进行验证,因为中间证书1的签名不是使用中间证书2的私钥签名的。
OK,了解了这个原理之后,我们就可以实现在WebView中,使用公钥来验证服务器的证书是否是我们公司的证书。在我们公司的项目中,也存在上面结构的一些证书,根证书放在手机端,中间证书放在了服务器端,所以可以使用根证书的公钥来验证中间证书的签名,如果能验证通过,说明服务器上的证书是可信(不是别人公司的),伪代码如下:
中间证书.验证签名(根证书.公钥),翻译成代码如下:
middleCert.verifySign(rootCert.publicKey)
真实代码如下:
val certificateFactory: CertificateFactory = CertificateFactory.getInstance(“X.509”)
val rootCert = certificateFactory.generateCertificate(resources.openRawResource(R.raw.rootCert))
val middleCert = error.certificate.x509Certificate
try {
middleCert.verify(rootCert.publicKey)
Timber.i(“验证通过”)
} catch (e: java.lang.Exception) {
Timber.e(e,“验证失败”)
}
中间证书也可能会颁发子证书,但是只能使用父证书的公钥来验证子证书的签名,反过来就不行。
=========================================================================================
测试的时候发现上面的设置方法对于Android6.0及更低版本无效,通过了解才知道了原因:
在Android 6.0的时候,在清单文件的application节点中新增了一个属性android:usesCleartextTraffic,含义为“使用明文通信”,设置为true则为允许使用http(明文)请求,设置为false则不允许使用http请求,只能使用https(加密)请求。
在Android7.0的时候,新增了通过network_security_config.xml的方式来配置https请求。
所以,xml配置https是在7.0的时候才出来的,用到更低的版本上肯定是不生效的,谷歌官网上只是说了在Android6.0的版本时它的默认设置是怎样的,并没有说我们在xml中的设置可以在Android6.0中起作用。
谷哥说的各种版本的https默认配置如下:
Android 9(API 级别 28)及更高版本为目标平台的应用的默认配置如下所示:
可以看到,当你在gradle中把目标版本设置为false时,默认的https配置是不允许使用明文通信的(http通信),而且默认信任系统类型的预装CA证书。所以,当我们他创建一个新项目的时候,默认目标版本都29或30或更高,我们声明了网络访问权限,确发现访问http时访问不了,就是因为默认不允许使用http了,如果你坚持想要使用http(明文通信),则可以把cleartextTrafficPermitted设置为true即可。
Android 7.0(API 级别 24)到 Android 8.1(API 级别 27)为目标平台的应用的默认配置如下所示:
以 Android 6.0(API 级别 23)及更低版本为目标平台的应用的默认配置如下所示:
这只是说明Android6.0中关于https的默认行为配置是这样的,并不等于你可以在xml中修改一下就能修改到这些配置,因为在Android6.0的时候还没有使用xml进行配置的方式。
那Android6.0及更低版本应该如何处理呢?看国外文章有说可以使用:https://github.com/datatheorem/TrustKit-Android,该库可使用和高版本的方式一样配置,并兼容低版本,但是我使用时不行,不知道是不是因为我使用的是ip访问,而不是域名方法,它的初始化代码中使用到了域名。
还有另一个库也可以:https://github.com/commonsguy/cwac-netsecurity/blob/master/README-original.markdown
一个可以支持证书的自定义WebView:https://github.com/yonekawa/webview-with-client-certificate
一个很多人讨论的关于WebView中使用自定义证书的事:https://issuetracker.google.com/issues/36917164
实现双向认证:https://blog.csdn.net/kpioneer123/article/details/51491739
https的版本支持:https://blog.csdn.net/ceko_wu/article/details/50954678
最后,还是通过设置OkHttp来完成低版本的Https认证,如下:
val builder = OkHttpClient.Builder()
if (Build.VERSION.SDK_INT < Build.VERSION_CODES.N) {
val certificateFactory: CertificateFactory = CertificateFactory.getInstance(“X.509”)
val certificate = certificateFactory.generateCertificate(resources.openRawResource(R.raw.xxx)) as X509Certificate
val certificates = HandshakeCertificates.Builder()
.addTrustedCertificate(certificate) // 信任指定的自定义证书
.addPlatformTrustedCertificates() // 信任系统的预装证书,如果不信任系统证书的话,比如在访问https://m.baidu.com时将会出错
.build()
builder.sslSocketFactory(certificates.sslSocketFactory(), certificates.trustManager)
}
val okHttpClient = builder.build()
这里也做了版本判断,因为Android7.0或以上版本直接使用xml中的配置即可。
谷歌官方实现链接:https://developer.android.google.cn/training/articles/security-ssl#UnknownCa ,因为没有用到OkHttp,所以会麻烦一些。代码如下:
// Load CAs from an InputStream
// (could be from a resource or ByteArrayInputStream or …)
val cf: CertificateFactory = CertificateFactory.getInstance(“X.509”)
// From https://www.washington.edu/itconnect/security/ca/load-der.crt
val caInput: InputStream = BufferedInputStream(FileInputStream(“load-der.crt”))
val ca: X509Certificate = caInput.use {
cf.generateCertificate(it) as X509Certificate
}
System.out.println(“ca=” + ca.subjectDN)
// Create a KeyStore containing our trusted CAs
val keyStoreType = KeyStore.getDefaultType()
val keyStore = KeyStore.getInstance(keyStoreType).apply {
load(null, null)
setCertificateEntry(“ca”, ca)
}
// Create a TrustManager that trusts the CAs inputStream our KeyStore
val tmfAlgorithm: String = TrustManagerFactory.getDefaultAlgorithm()
val tmf: TrustManagerFactory = TrustManagerFactory.getInstance(tmfAlgorithm).apply {
init(keyStore)
}
// Create an SSLContext that uses our TrustManager
最后
简历首选内推方式,速度快,效率高啊!然后可以在拉钩,boss,脉脉,大街上看看。简历上写道熟悉什么技术就一定要去熟悉它,不然被问到不会很尴尬!做过什么项目,即使项目体量不大,但也一定要熟悉实现原理!不是你负责的部分,也可以看看同事是怎么实现的,换你来做你会怎么做?做过什么,会什么是广度问题,取决于项目内容。但做过什么,达到怎样一个境界,这是深度问题,和个人学习能力和解决问题的态度有关了。大公司看深度,小公司看广度。大公司面试你会的,小公司面试他们用到的你会不会,也就是岗位匹配度。
面试过程一定要有礼貌!即使你觉得面试官不尊重你,经常打断你的讲解,或者你觉得他不如你,问的问题缺乏专业水平,你也一定要尊重他,谁叫现在是他选择你,等你拿到offer后就是你选择他了。
另外,描述问题一定要慢!不要一下子讲一大堆,慢显得你沉稳、自信,而且你还有时间反应思路接下来怎么讲更好。现在开发过多依赖ide,所以会有个弊端,当我们在面试讲解很容易不知道某个方法怎么读,这是一个硬伤…所以一定要对常见的关键性的类名、方法名、关键字读准,有些面试官不耐烦会说“你到底说的是哪个?”这时我们会容易乱了阵脚。正确的发音+沉稳的描述+好听的嗓音决对是一个加分项!
最重要的是心态!心态!心态!重要事情说三遍!面试时间很短,在短时间内对方要摸清你的底子还是比较不现实的,所以,有时也是看眼缘,这还是个看脸的时代。
希望大家都能找到合适自己满意的工作!
进阶学习视频
附上:我们之前因为秋招收集的二十套一二线互联网公司Android面试真题 (含BAT、小米、华为、美团、滴滴)和我自己整理Android复习笔记(包含Android基础知识点、Android扩展知识点、Android源码解析、设计模式汇总、Gradle知识点、常见算法题汇总。)
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
望大家都能找到合适自己满意的工作!
进阶学习视频
[外链图片转存中…(img-j5up1ngc-1714280047834)]
附上:我们之前因为秋招收集的二十套一二线互联网公司Android面试真题 (含BAT、小米、华为、美团、滴滴)和我自己整理Android复习笔记(包含Android基础知识点、Android扩展知识点、Android源码解析、设计模式汇总、Gradle知识点、常见算法题汇总。)
[外链图片转存中…(img-NFisGW38-1714280047834)]
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
1152
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
