flutter dio Https证书校验和certificate_pinning源码解析

已于 2022-05-18 14:15:07 修改
阅读量3.5k 收藏 3
点赞数 1
文章标签: flutter
于 2022-05-16 15:27:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a611510/article/details/124800222
版权

http回顾

http 协议 是应用层协议 同时还有 ftp dns tftp smtp snmp ,是一个基于TCP/IP通信协议来传递数据.

传输的类型由Content-Type加以标记,同时具有无连接、无状态等特点

一个请求由请求行(request line)、请求头部(header)、空行和请求数据四个部分组成

现在常用的是http1 的协议。 而http2 的协议 是在1的基础上升级,增加了安全性是机遇https,增加了效率通过二进制分帧来进行数据传输

在http1.1中,客户端在同一时间,针对同一域名下的请求有一定数量的限制

而http2.0中的多路复用优化了这一性能。多路复用允许同时通过单一的http/2 连接发起多重的请求-响应消息http2 不再依赖多个TCP连接去实现多流并行了

http 2.0 连接都是持久化的,接可以承载数十或数百个流的复用,

而且使用encoder来减少需要传输的header大小的同时通讯双方各自缓存一份头部字段表,避免了重复header的传输

tcp 回顾

tcp 位于传输层

用来传输数据,常见的三次握手

ip回顾

用于标识网络中的唯一一台主机或路由器. 一般用DNS 协议提供通过域名查找 IP 地址

https 回顾

一般理解为HTTP+SSL/TLS,通过 SSL证书来验证服务器的身份,并为浏览器和服务器之间的通信进行加密。

SSL/TLS是一个安全通信框架,上面可以承载HTTP协议或者SMTP/POP3协议等。

https请求流程

1.首先客户端通过URL访问服务器建立SSL连接。
2.服务端收到客户端请求后,会将网站支持的证书信息(证书中包含公钥)传送一份给客户端。
3.客户端的服务器开始协商SSL连接的安全等级,也就是信息加密的等级。
4.客户端的浏览器根据双方同意的安全等级,建立会话密钥,然后利用网站的公钥将会话密钥加密,并传送给网站。
5.服务器利用自己的私钥解密出会话密钥。
6.服务器利用会话密钥加密与客户端之间的通信。

回顾得知, https 会先建立ssl 连接, 请求证书,  如果证书不正确,就终止步骤,

证书的检查由系统操作,dio 没有api 可以自定义检查 ,只有一个不可信证书处理机制

用来配处理自己的证书(注意只有不可信的证书才会执行)

(dio.httpClientAdapter as DefaultHttpClientAdapter).onHttpClientCreate  = (client) {
  client.badCertificateCallback=(X509Certificate cert, String host, int port){
    if(cert.pem==PEM){ // Verify the certificate
      return true;
    }
    return false;
  };
};

或者添加自签名证书(其他可信任的依然可以通过)

(dio.httpClientAdapter as DefaultHttpClientAdapter).onHttpClientCreate  = (client) {
  SecurityContext sc = SecurityContext();
  //file is the path of certificate
  sc.setTrustedCertificates(file);
  HttpClient httpClient = HttpClient(context: sc);
  return httpClient;
};

如果想固定的证书校验通过. 

在dio 里面有一个http_certificate_pinning 插件, 用来配置固定证书

  var dio =  Dio(BaseOptions(baseUrl: baseUrl))
        ..interceptors.add(CertificatePinningInterceptor(allowedSHAFingerprints));
源码查看
CertificatePinningInterceptor
@override
Future onRequest(
    RequestOptions options,
    RequestInterceptorHandler handler,
    ) async {
  try {
    //已验证的跳过
    if (verifiedURLs.contains(options.baseUrl)) {
      return super.onRequest(options, handler);
    }
    //iOS问题
    if (Platform.isIOS && secure != null) {
      await secure;
    }
    //当前插件是基于 ssl_pinning_plugin 插件二次开发
    //直接看android 实现部分
    secure = HttpCertificatePinning.check(
      serverURL: options.baseUrl,
      headerHttp: options.headers.map((a, b) => MapEntry(a, b.toString())),
      sha: SHA.SHA256,
      allowedSHAFingerprints: _allowedSHAFingerprints,
      timeout: _timeout,
    );

    secure?.whenComplete(() => secure = null);
    final secureString = await secure ?? '';

    if (secureString.contains('CONNECTION_SECURE')) {
      verifiedURLs.add(options.baseUrl);
      return super.onRequest(options, handler);
    } else {
      handler.reject(
        DioError(
          requestOptions: options,
          error: CertificateNotVerifiedException(),
        ),
      );
    }
  } on Exception catch (e) {
  ...省略
  }

最终调用了android 的handleCheckEvent 方法

private fun handleCheckEvent(call: MethodCall, result: Result) {
//取值
    val arguments: HashMap<String, Any> = call.arguments as HashMap<String, Any>
    val serverURL: String = arguments.get("url") as String
    val allowedFingerprints: List<String> = arguments.get("fingerprints") as List<String>
    val httpMethod: String = arguments.get("httpMethod") as String
    val httpHeaderArgs: Map<String, String> = arguments.get("headers") as Map<String, String>
    val timeout: Int = arguments.get("timeout") as Int
    val type: String = arguments.get("type") as String
       //开始检查
    val get: Boolean = CompletableFuture.supplyAsync { this.checkConnexion(serverURL, allowedFingerprints, httpHeaderArgs, timeout, type, httpMethod) }.get()
        //返回结果
    if(get) {
        result.success("CONNECTION_SECURE")
    }else {
        result.error("CONNECTION_NOT_SECURE", "Connection is not secure", "Fingerprint doesn't match")
    }

}

      代码比较简单, 直接忽略中间各种调用跳转。最终调用了getFingerprint

private fun getFingerprint(httpsURL: String, connectTimeout: Int, httpHeaderArgs: Map<String, String>, type: String, httpMethod: String): String {
   //调用java7的API 准备连接
    val url = URL(httpsURL)
    val httpClient: HttpsURLConnection = url.openConnection() as HttpsURLConnection

    if (httpMethod == "Head") httpClient.setRequestMethod("HEAD");

    httpHeaderArgs.forEach { key, value -> httpClient.setRequestProperty(key, value) }
    httpClient.connect()
        //获取服务器证书
    val cert: Certificate = httpClient.getServerCertificates()[0] as Certificate
        //断开链接
    httpClient.disconnect()
   //返回
    return this.hashString(type, cert.getEncoded())

}
阿旭哟嘿
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
http_certificate_pinning:FlutterHttps证书固定
04-16
Http证书固定 FlutterHttps证书固定 该项目基于 任何帮助表示赞赏! 评论,建议,问题,公关! 入门 在flutter或dart项目中添加依赖项: dependencies : ... http_certificate_pinning : 1.0.4 获取证书指纹 要获取SHA256证书指纹,请在控制台中运行: openssl x509 -noout -fingerprint -sha256 -inform pem -in [certificate-file.crt] 结果就像: '59:58:57:5A:5B:5C:5D:59:58:57:5A:5B:5C:5D:59:58:57:5A:5B:5C:5D:59:58:57:5A :5B:5C:5D:59:58:57:5A:5B:5C:5D' 用法示例 使用迪奥 import 'package:http_ce
强大的FlutterHttp请求开源库dio
08-07
一个强大的Dart Http请求库,支持Restful API、FormData、拦截器、请求取消、Cookie管理、文件上传/下载、超时等.
flutter 增加 https 支持
qq_40662918的博客
10-28 635
flutter 增加 https 支持
2024年最全Flutter 项目实战 Dio网络请求 四(1),2024年最新android界面开发工具
最新发布
2401_84544461的博客
05-17 735
最后为了帮助大家深刻理解Android相关知识点的原理以及面试相关知识,这里放上相关的我搜集整理的14套腾讯、字节跳动、阿里、百度等2021最新面试真题解析,我把技术点整理成了视频和PDF(实际上比预期多花了不少精力),包知识脉络 + 诸多细节。网上学习 Android的资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
flutter安卓开发证书,key
晴天有何特别
07-28 814
创建key.jks文件 .\keytool -genkey -v -keystore /C:key.jks -keyalg RSA -keysize 20400 -alias key 获取发布版安全码 (是指在开发调试时,从Android Studio或者Eclipse中直接运行的APP在打包时使用了开发工具默认的开发版(debug)签名文件,开发版签名文件对应有唯一的SHA1) keytool -exportcert -list -v -keystore C:\key.jks 获取调试版安全码 (是指
flutter携带本地证书去验证
weixin_45386575的博客
10-27 72
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
Flutter 网络请求封装之Dio
大灰狼的小绵羊哥哥的博客
05-30 1342
文章目录 Dio相关 封装开始 get请求 post请求 post Form表单 异常处理 Cookie管理 添加拦截器 下载文件 取消请求 Https证书校验 调用示例 完整代码 之所以封装,千言万语汇成一句话:方便使用。 Dio相关 dio是一个强大的Dart Http请求库,支持Restful API、FormData、拦截器、请求取消、Cookie管理、文件上传/下载、超时、自定义适配器等… 添加依赖,注意3.0.+是不兼容升级 dependencies: dio: ^3.0.9 一个极简示.
flutter httpClient的封装 dio
litter_lj的博客
08-01 1457
1.get请求 import 'package:flutter/material.dart'; import 'package:dio/dio.dart'; class MyHttp extends StatefulWidget { @override State<StatefulWidget> createState() { // TODO: implement...
Flutter安卓快捷创建证书并打包发布
不日繁华终远去,愿她长久
09-23 2891
使用AndroidStudio快速创建证书并且打包,相比于使用命令创建证书更方便更简洁更直观。
flutter_dio_mvp_futurebuilder.zip
01-01
在本文中,我们将深入探讨如何在Flutter应用中结合MVP设计模式、Dio网络库以及FutureBuilder组件,来实现高效且可维护的网络请求处理。Flutter是Google推出的一款用于构建高性能、高保真、可移植的移动应用的开源UI...
flutter_inappwebview-master_flutter_WebView_源码.zip
09-30
- **安全配置:**支持HTTPS证书校验、SSL Pinning等功能,保障数据传输的安全性。 - **自定义WebView:**允许用户自定义WebView的外观和行为,如设置自定义的滚动条、加载动画等。 5. **错误处理:** 当WebView...
flutter_ui_challenge_flight_search.zip
08-10
【标题】"flutter_ui_challenge_flight_search.zip"是一个包含 Flutter 高级用户界面设计挑战的压缩文件,主要关注在Flutter框架下实现飞行搜索功能的UI。这个项目可能是为开发者提供一个练习或者示例,以展示如何在...
dio-http-cache:Flutter dio的http缓存库,例如RxCache
05-13
dio.interceptors. add ( DioCacheManager ( CacheConfig (baseUrl : "http://www.google.com" )).interceptor); 为请求设置maxAge: Dio (). get ( "http://www.google.com" , options : buildCacheOptions ( ...
Flutter忽略Https、WSS证书验证
sinat_28884723的博客
08-14 4433
Flutter忽略Https、WSS证书验证使用Dio单独忽略Https证书验证全局忽略Https证书验证 使用Dio单独忽略Https证书验证 Dio _dio = Dio(); _dio.options.baseUrl = UrlConfig.BASE_URL; _dio.options.connectTimeout = 5000; _dio.options.receiveTimeout = 3000; //忽略Https校验 (_dio.httpClientAdapte
Flutter 自签名证书
shelutai的博客
11-02 973
2.本地CA根证书验证服务器证书时,当服务器证书的签名不对时,会回调到badCertificateCallback, 而其他证书错误也会回调到badCertificateCallback, 如果要如何区分不同的证书错误原因,则需要手动去校验证书的签名等信息。当系统检测证书有问题时,会通过回调badCertificateCallback让我们有机会接受或拒绝这个错误的证书,当返回true时,表示我们接受这个证书,会继续完成通讯请求,当返回false时,表示我们不接受错误的证书https通讯将失败。
Flutter项目webview加载没有HTTPS证书的网页在Android和iOS设备上无法显示的解决方案
he先森的博客
05-21 2710
Flutter项目使用谷歌官方webview库 webview_flutter,加载自签名证书证书失效、无证书HTTPS网页地址时,在Android或pc浏览器中提示证书失效,在iOS设备上为空白页,为了加载自签名证书的网页,需要饶过iOS上的webview控件HTTPS证书校验。
证书锁定Certificate Pinning技术
大学霸__IT达人
03-03 1935
证书锁定Certificate Pinning技术
Flutter 项目实战 Dio网络请求 四
我很好
12-31 5263
/ HTTP | HTTPS / HTTP是一个客户端(用户)和 服务端(网站)之间请求和应答的标准,通常使用TCP协议。 客户端发起一个HTTP请求到服务器上指定端口(默认端口为80)。客户端 (用户代理程序) 向应答 服务器 (源服务器) 发起请求 , 从服务器获取需要的资源 (包括 : 文件、图像 、文本、视频 等等) 。 客户端和服务端之间 可能存在多个中间层 (例如 : 代理服务器、网关)。HTTP可以在任何互联网协 议或其他网络上实现 ,使用TCP...
Flutter中用dio发起HTTP网络请求
weixin_40763897的博客
08-24 3159
用dart io中的HttpClient发起的请求,但HttpClient本身功能较弱,很多常用功能都不支持。所以推荐大家使用dio 来发起网络请求,它是一个强大易用的dart http请求库,支持Restful API、FormData、拦截器、请求取消、Cookie管理、文件上传/下载。github dio 1.添加依赖 在pubspec.yaml加入以下依赖: dependencies: dio: ^3.0.10 #latest version 2.下载依赖 在项目根目录下执行flutter p
Flutter高级实战:自动化与引擎源码解析
"这门课程专注于深入研究Flutter的高级逻辑开发和引擎源码,旨在帮助开发者提升Flutter应用开发的技能和效率。课程涵盖了自动化工具的使用、高级逻辑开发技巧,如状态管理、路由导航和数据持久化,以及Flutter引擎的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值