【Android】OkHttp3网络请求SSL证书验证问题绕过解决方案(包括Android 10及以上适配)

已于 2022-05-06 11:27:54 修改
阅读量8.5k 收藏 8
点赞数 1
分类专栏: Android - 项目问题总结 Android - 版本适配 Android - 其它 文章标签: android ssl
于 2021-11-19 09:43:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_35214775/article/details/121414905
版权

出现情况

当我们将之前封装的一套OKhttp的网络请求换成HTTPS的时候会发现,日志中会报出:

java.security.cert.CertPathValidatorException
Caused by: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found.

如下所示:

2021-11-19 09:16:12.140 7773-7773 W/System.err: Caused by: java.security.cert.CertificateException: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found.
2021-11-19 09:16:12.140 7773-7773 W/System.err:     at com.android.org.conscrypt.TrustManagerImpl.verifyChain(TrustManagerImpl.java:674)
2021-11-19 09:16:12.140 7773-7773 W/System.err:     at com.android.org.conscrypt.TrustManagerImpl.checkTrustedRecursive(TrustManagerImpl.java:551)
2021-11-19 09:16:12.140 7773-7773 W/System.err:     at com.android.org.conscrypt.TrustManagerImpl.checkTrustedRecursive(TrustManagerImpl.java:617)
2021-11-19 09:16:12.140 7773-7773 W/System.err:     at com.android.org.conscrypt.TrustManagerImpl.checkTrusted(TrustManagerImpl.java:507)
2021-11-19 09:16:12.140 7773-7773 W/System.err:     at com.android.org.conscrypt.TrustManagerImpl.checkTrusted(TrustManagerImpl.java:426)
2021-11-19 09:16:12.140 7773-7773 W/System.err:     at com.android.org.conscrypt.TrustManagerImpl.getTrustedChainForServer(TrustManagerImpl.java:354)
2021-11-19 09:16:12.140 7773-7773 W/System.err:     at android.security.net.config.NetworkSecurityTrustManager.checkServerTrusted(NetworkSecurityTrustManager.java:94)
2021-11-19 09:16:12.140 7773-7773 W/System.err:     at android.security.net.config.RootTrustManager.checkServerTrusted(RootTrustManager.java:89)
2021-11-19 09:16:12.140 7773-7773 W/System.err:     at com.android.org.conscrypt.Platform.checkServerTrusted(Platform.java:224)
2021-11-19 09:16:12.140 7773-7773 W/System.err:     at com.android.org.conscrypt.ConscryptFileDescriptorSocket.verifyCertificateChain(ConscryptFileDescriptorSocket.java:407)
2021-11-19 09:16:12.140 7773-7773 W/System.err:     at com.android.org.conscrypt.NativeCrypto.SSL_do_handshake(Native Method)
2021-11-19 09:16:12.140 7773-7773 W/System.err:     at com.android.org.conscrypt.NativeSsl.doHandshake(NativeSsl.java:387)
2021-11-19 09:16:12.140 7773-7773 W/System.err:     at com.android.org.conscrypt.ConscryptFileDescriptorSocket.startHandshake(ConscryptFileDescriptorSocket.java:226)
2021-11-19 09:16:12.140 7773-7773 W/System.err: 	... 34 more
2021-11-19 09:16:12.141 7773-7773 W/System.err: Caused by: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found.
2021-11-19 09:16:12.141 7773-7773 W/System.err: 	... 47 more

一番摸索之后,网上给出常规解决方案是在 OkHttpClient.Builder 创建者中添加 sslSocketFactory()hostnameVerifier() 来忽略对SSL证书的验证,如下所示:


        okHttpClient = new OkHttpClient.Builder()
                .connectTimeout(DEFAULT_CONNECT_TIME, TimeUnit.SECONDS)
                .writeTimeout(DEFAULT_WRITE_TIME, TimeUnit.SECONDS)
                .readTimeout(DEFAULT_READ_TIME, TimeUnit.SECONDS)
                //注意此处
                .sslSocketFactory(MySSLSocketClient.getSSLSocketFactory(), MySSLSocketClient.X509)
                .hostnameVerifier(MySSLSocketClient.getHostnameVerifier())
                //
                .addInterceptor(chain -> {
                    Request original = chain.request();
                    Request request = original.newBuilder()
                            .headers(headersBuilder.build())
                            .method(original.method(), original.body())
                            .build();
                    return chain.proceed(request);
                })
                .build();

MySSLSocketClient


import java.security.SecureRandom;
import java.security.cert.X509Certificate;

import javax.net.ssl.HostnameVerifier;
import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLSession;
import javax.net.ssl.SSLSocketFactory;
import javax.net.ssl.TrustManager;
import javax.net.ssl.X509TrustManager;

public class MySSLSocketClient {
    //获取这个SSLSocketFactory
    public static SSLSocketFactory getSSLSocketFactory() {
        try {
            SSLContext sslContext = SSLContext.getInstance("SSL");
            sslContext.init(null, getTrustManager(), new SecureRandom());
            return sslContext.getSocketFactory();
        } catch (Exception e) {
            throw new RuntimeException(e);
        }
    }

    //获取TrustManager
    public static TrustManager[] getTrustManager() {
        TrustManager[] trustAllCerts = new TrustManager[]{
                new X509TrustManager() {
                    @Override
                    public void checkClientTrusted(X509Certificate[] chain, String authType) {
                    }

                    @Override
                    public void checkServerTrusted(X509Certificate[] chain, String authType) {
                    }

                    @Override
                    public X509Certificate[] getAcceptedIssuers() {
                        //8.0之前返回null
                        return new X509Certificate[]{};
                    }
                }
        };
        return trustAllCerts;
    }

    //获取HostnameVerifier
    public static HostnameVerifier getHostnameVerifier() {
        HostnameVerifier hostnameVerifier = new HostnameVerifier() {
            @Override
            public boolean verify(String s, SSLSession sslSession) {
                return true;
            }
        };
        return hostnameVerifier;
    }
}

至此,常规操作已经可以解决问题了。
但是,对于Android开发者来说总所周知的一件事就是:版本适配!(手动心酸泪目…)
对于在Android 10及以上的设备上,会出现设备信任问题(个人理解命名),报错如:
Required method checkServerTrusted
Unable to extract the trust manager on Android10Platform 之类

解决方式

在 OkHttp 的GitHub 中的 issues 已经给出了具体的解决方案
就是把上面 MySSLSocketClient类中的 X509TrustManager 的实现类换成 X509ExtendedTrustManager 实现类即可。

最终 MySSLSocketClient 类如下:

import java.net.Socket;
import java.security.SecureRandom;
import java.security.cert.CertificateException;
import java.security.cert.X509Certificate;

import javax.net.ssl.HostnameVerifier;
import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLEngine;
import javax.net.ssl.SSLSession;
import javax.net.ssl.SSLSocketFactory;
import javax.net.ssl.TrustManager;
import javax.net.ssl.X509ExtendedTrustManager;

public class MySSLSocketClient {

    //获取TrustManager
    public static X509ExtendedTrustManager X509 = new X509ExtendedTrustManager() {
        @Override
        public void checkClientTrusted(X509Certificate[] x509Certificates, String s, Socket socket) throws CertificateException {

        }

        @Override
        public void checkServerTrusted(X509Certificate[] x509Certificates, String s, Socket socket) throws CertificateException {

        }

        @Override
        public void checkClientTrusted(X509Certificate[] x509Certificates, String s, SSLEngine sslEngine) throws CertificateException {

        }

        @Override
        public void checkServerTrusted(X509Certificate[] x509Certificates, String s, SSLEngine sslEngine) throws CertificateException {

        }

        @Override
        public void checkClientTrusted(X509Certificate[] x509Certificates, String s) throws CertificateException {

        }

        @Override
        public void checkServerTrusted(X509Certificate[] x509Certificates, String s) throws CertificateException {

        }

        @Override
        public X509Certificate[] getAcceptedIssuers() {
            return new X509Certificate[0];
        }
    };
    
    //获取这个SSLSocketFactory
    public static SSLSocketFactory getSSLSocketFactory() {
        try {
            SSLContext sslContext = SSLContext.getInstance("SSL");
            sslContext.init(null, new TrustManager[]{X509}, new SecureRandom());
            return sslContext.getSocketFactory();
        } catch (Exception e) {
            throw new RuntimeException(e);
        }
    }


    //获取HostnameVerifier
    public static HostnameVerifier getHostnameVerifier() {
        HostnameVerifier hostnameVerifier = new HostnameVerifier() {
            @Override
            public boolean verify(String s, SSLSession sslSession) {
                return true;
            }
        };
        return hostnameVerifier;
    }
}
MrRobot_
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SpringBoot实战(二十九)发送HTTP/HTTPS请求(HttpURLConnection、HttpClient、Okhttp3、RestTemplate)
ACGkaka的博客
07-04 1062
SpringBoot实战(二十九)发送HTTP/HTTPS请求(HttpURLConnection、HttpClient、Okhttp3、RestTemplate)
okHttp跳过强制https验证
applek_Case的博客
02-26 6998
okHttp是基于client连接的,所有的网络连接https都要遵循几次握手才能数据相互传输,因为https的单向或者双向加密的,所以要想访问,就需要ssl证书。对于想用他爬取一些网络数据以及模拟登陆一些网站的时候,https很大的程度加深了我们项目开发的难度,因为要匹配https。那么对于我们并不是要开发我们公司或者自己的客户端,而是爬取或者登陆别人的网站的时候,我们大多数是不需要https的...
基于Android10的忽略HTTPS证书校验
小小小石头的专栏
03-31 8276
为什么要忽略证书校验 从Android 9 开始 APP默认访问的URL 必须是HTTPS协议的,虽然可以配置回支持HTTP,但这种做法不建议使用,已经0202年了,HTTPS早已经是主流。既然要使用HTTPS协议,就少不了CA证书,这个证书是收费的,也有些平台可以什么一年有效期的免费证书,但作为个人开发者,自己建个项目,开发用,完全没必要,我们使用JDK下的keytool生成 https证书。...
OkHttp在4.4及以下不支持TLS协议的解决方法
weixin_30268071的博客
09-18 696
错误信息如下: javax.net.ssl.SSLHandshakeException: javax.net.ssl.SSLProtocolException: SSL handshake aborted: ssl=0x79f145b0: Failure in SSL library, usually a protocol error error:1407742E:SSL rou...
OkHttp配置HTTPS访问+服务器部署
氷泠
03-30 4726
1 概述 okhttp配置https访问,需要 2 OkHttp介绍 OkHttp是一款开源的处理网络请求的轻量级框架,有Square公司贡献,用于替代HttpUrlConnection与Apache HttpClient,目前Github上有36.4k的star.优点有 共享socket,HTTP/2支持所有连接到同一个主机的请求共享socket 连接池可以减少请求延迟 缓存响应数据减少重复的...
okhttp报错:clientBuilder.sslSocketFactory(SSLSocketFactory) not supported on jdk 9+
程序员小杨哥的博客
06-13 4832
OKhttp报错:not supported on jdk 9+, 但是发现自己安装的jdk版本其实是jdk8,怎么解决?
okhttpclient.setsslsocketfactory 报错解决
王者无双
01-09 1142
后续因为更新apk的时候包体积较大,网络不好的时候,用HttpUrlConnection偶尔会下载失败,于是下载更新apk就改为了okhtt3这个库,其他业务请求还是用HttpUrlConnection这个类。这样修改后,HttpUrlConnection就可以请求https了,当然这里是信任所有https,实际上如果要真的验证还是需要拿到证书文件,进行实际验证的,此处略,只是让通信能成功。后续因为业务改动,服务端改为了https,所有的网络请求都用https方式了,
Android 4.4 以下,OkHttp访问Https报错,设置了sslSocketFactory仍无效的解决方法
LittleFogCat的专栏
03-04 1160
Android4.4以下,使用OkHttp可能会报错:SSL handshake aborted: ssl=0x6b712c90: Failure in SSL library, usually a protocol error error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure
Android OkHttp中添加https支持
假装你是大灰狼的专栏
04-30 2656
基础知识 感觉就是一堆有信誉的机构,说: 我们这些机构的公钥是可信的,我们下面的小弟当然也是可以信任的啦 然后大家就去当人家小弟,就是可信的了…. 当然这里面有的大佬不高兴,就自己搞一套证书,比如12306 Https中,值得注意的密钥有: 服务器端的公钥和私钥 客户端的随机密钥 值得注意的是一个HTTPS请求实际上就是两次HTTP传输. 1.客户端向服务器发起HTTPS请求,连接到服务器的443端口。 2.服务端收到请求,向客户端发送自己的公钥 3.客户端收到服务器公钥,开始验证证书的合法性,我们知道
androidOkHttp3网络的POST和GET请求
07-20
Android开发中,网络通信是应用与服务器交互的重要方式,OkHttp3是一个高效且功能强大的网络请求库。本文将深入探讨如何使用OkHttp3进行GET和POST请求。 首先,我们来了解一下OkHttp3的基本概念。OkHttp是由...
Android okhttp3.0忽略https证书的方法
01-20
Android开发中,HTTPS协议常用于确保数据传输的安全性,...但请注意,这种方法仅适用于测试环境,因为它完全绕过了安全机制,可能会导致安全风险。在生产环境中,你应该始终使用受信任的证书,并遵循标准的安全实践。
Android 基于协程OkHttp网络请求工具.zip
最新发布
04-24
本项目“Android 基于协程OkHttp网络请求工具”结合了这两者,旨在提供一种更加优雅、高效的网络请求解决方案。 1. **协程基础** - 协程是一种编程概念,允许开发者编写非阻塞式的并发代码,避免了线程切换的开销...
android ssl证书验证
11-15
本文将深入探讨Android中的SSL证书验证过程、遇到的问题以及解决方案。 首先,理解SSL证书的基本结构和作用至关重要。SSL证书通常由受信任的证书颁发机构(CA)签署,包含了公钥和一些身份信息,如域名、组织名等。...
Trust anchor for certification path not found.异常解决方法。
weixin_43936741的博客
07-29 9732
java.security.cert.CertPathValidatorException: Trust anchor for certification path not found.异常解决方法。
Android客户端访问https出现问题(Trust anchor for certification path not found)
automsen
09-14 6664
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录遇到问题一、问题分析二、问题解决总结 遇到问题 安卓客户端在调用https接口出现java.security.cert.CertPathValidatorException: Trust anchor for certification path not found 一、问题分析 证书是否合法 https接口的证书用的Let‘s encrypt证书,在浏览器等终端上访问证书皆为有效证书 安卓客户端调用其他https接口都是正
okhttp3.0忽略https证书
热门推荐
Anonymous
06-14 4万+
最近公司项目需要,网络协议支持https
OkHttp3 配置Https证书请求
WL-鬼
11-06 1万+
前言:又有一段时间没更新咯,也是自己实在是懒。也想到发布文章的话不知道该发布什么。就时间间隔了这么长的时间,这段时间稍微没那么忙了就抽空写篇文章记录一下。也不是什么高科技高级技术。好了废话不多说直接来个正文吧正文:直接上代码/** * 关联Https请求验证证书 * * @param okHttpClient */ public OkHt...
Android Https相关完全解析 当OkHttp遇到Https
iteye_7202的博客
08-31 2559
转自: http://blog.csdn.net/lmj623565791/article/details/48129405; 本文出自:【张鸿洋的博客】 一、概述 其实这篇文章理论上不限于okhttp去访问自签名的网站,不过接上篇博文了,就叫这个了。首先要了解的事,okhttp默认情况下是支持https协议的网站的,比如https://www.baidu.com,https://...
OKHTTP sslsocketfactory 过期,解决方案
topc2000的博客
01-18 1万+
报错:clientBuilder.sslSocketFactory(SSLSocketFactory) not supported on JDK 9+ 原因是单参数的 构造函数 被弃用。 try { TrustManagerFactory trustManagerFactory = null; trust...
java okhttp3 绕过ssl验证
06-13
OkHttp3 中,可以通过配置 OkHttpClient 实例的 SSLSocketFactory 和 TrustManager 来实现绕过 SSL 验证,具体如下: ```java // 创建一个信任所有证书的 TrustManager TrustManager[] trustAllCerts = new TrustManager[] { new X509TrustManager() { @Override public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException { } @Override public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException { } @Override public X509Certificate[] getAcceptedIssuers() { return new X509Certificate[0]; } }}; // 创建一个 SSLContext,并使用上面的 TrustManager 初始化 SSLContext sslContext = SSLContext.getInstance("SSL"); sslContext.init(null, trustAllCerts, new SecureRandom()); // 创建一个 OkHttpClient 实例,并设置 SSLContext OkHttpClient client = new OkHttpClient.Builder() .sslSocketFactory(sslContext.getSocketFactory(), (X509TrustManager) trustAllCerts[0]) .hostnameVerifier((hostname, session) -> true) .build(); // 发送请求 Request request = new Request.Builder() .url("https://example.com") .build(); Response response = client.newCall(request).execute(); ``` 在上面的代码中,我们创建了一个 TrustManager 实例,用于信任所有证书。然后使用这个 TrustManager 初始化一个 SSLContext,最后将这个 SSLContext 设置到 OkHttpClient 实例中。 需要注意的是,绕过 SSL 验证可能会带来安全风险,应该尽量避免在生产环境中使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

MrRobot_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值