Delphi XE10.x实现Android下Https双向认证

最新推荐文章于 2023-03-14 10:26:33 发布
最新推荐文章于 2023-03-14 10:26:33 发布
阅读量952 收藏 3
点赞数
分类专栏: Delphi Other 文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sonadorje/article/details/118894182
版权

我有一个https云服务器,在手机端的app发出请求后,获得服务端返回的内容,服务端存放了自制ca以及sever证书。

const https = require('https');
var fs = require('fs');
var options = {
	key: fs.readFileSync("./myserver.key"),
    cert: fs.readFileSync('./myserver.crt'),
	ca: fs.readFileSync('./MyCARoot.crt'), 
    requestCert: true,
	rejectUnauthorized:true

};

这样的配置,就需要手机端安装client证书

但我并不想让使用者都来安装client证书,这样就把私钥泄漏出去了,能不能把*.pfx证书打包,然后以代码去加载证书呢?可以的,下面是实现的步骤:

1、在\Embarcadero\Studio\21.0\source\rtl\net下找到System.Net.HttpClient.Android.pas文件 ,复制一份到你的工程文件夹下,然后重命名。

2、把implementation下的所有类定义,移动到interface下

TAndroidHTTPRequest = class;
  TAliasCallback = class(TJavaLocal, JKeyChainAliasCallback)
  protected
    [Weak] FRequest: TAndroidHTTPRequest;
  public
    procedure alias(alias: JString); cdecl;
    constructor Create(const ARequest: TAndroidHTTPRequest);
  end;

  TJHostnameVerifier = class(TJavaLocal, JHostnameVerifier)
  public
    function verify(hostname: JString; session: JSSLSession): Boolean; cdecl;
  end;

3、找到TAndroidHTTPClient = class(THTTPClient),增加两个私有成员

private
    FMyTrustManagerFactory : JTrustManagerFactory;
    FMyKeyManagerFactory: JKeyManagerFactory;

 再添加两个procedure

procedure TAndroidHTTPClient.SetTrustManagerFactory(const ATmf: JTrustManagerFactory);
begin
   FMyTrustManagerFactory := ATmf;
end;

procedure TAndroidHTTPClient.setKeyManagerFactory(const AKMF: JKeyManagerFactory);
begin
   FMyKeyManagerFactory := AKMF;
end;

同样的,找到TAndroidHTTPRequest = class(THTTPRequest),增加这两个私有成员

4、找到procedure TAndroidHTTPRequest.DoPrepare,做修改,替换原来的处理方式

// TrustManager
    //LJTrustManagers := FMyTrustManagerFactory.getTrustManagers;
    LJOldTrustManager := TJX509TrustManager.Wrap(FMyTrustManagerFactory.getTrustManagers[0]); // Get Current Trust Manager.
    FJTrustManager := TX509TrustManager.Create(LJOldTrustManager, Self);
    LJTrustManagers := TJavaObjectArray<JTrustManager>.Create(1);
    LJTrustManagers.Items[0] := TJTrustManager.Wrap(FJTrustManager);
    LJCerts := FJTrustManager.getAcceptedIssuers;

    FJTrustManager.checkClientTrusted(LJCerts, StringToJString('RSA'));
    FJTrustManager.checkServerTrusted(LJCerts, StringToJString('RSA'));

    // KeyManager
    LJOldKeyManager := TJX509KeyManager.Wrap(FMyKeyManagerFactory.getKeyManagers[0]); // Get Current Key Manager.
    FJKeyManager := TX509KeyManager.Create(LJOldKeyManager, Self);
    LJKeyManagers := TJavaObjectArray<JKeyManager>.Create(1);
    LJKeyManagers.Items[0] := TJKeyManager.Wrap(FJKeyManager);

5、找到function TAndroidHTTPClient.DoGetHTTPRequestInstance,把两个前面定义的私有成员传递给Request

function TAndroidHTTPClient.DoGetHTTPRequestInstance(const AClient: THTTPClient; const ARequestMethod: string;
  const AURI: TURI): IHTTPRequest;
begin
  Result := TAndroidHTTPRequest.Create(TAndroidHTTPClient(AClient), ARequestMethod, AURI);

  //把两个工厂实例传递给创建的HttpRequest
  (Result  as TAndroidHTTPRequest).setTrustManagerFactory(FMyTrustManagerFactory);
  (Result  as TAndroidHTTPRequest).setKeyManagerFactory(FMyKeyManagerFactory);
end;

 6、找到procedure TX509TrustManager.checkServerTrusted,做修改

// 检查是否是权威CA,对于自制证书,无法通过
    //FJOrigOldTrustManager.checkServerTrusted(chain, authType);
    if not isServerTrusted(FRequest.FServerCertificate) then
       raise ECertificateException.Create('无效服务端证书!');

把原生的checkServerTrusted(chain, authType);注释掉,以自定义的函数isServerTrusted

替换,这个函数很简单,判断CA证书和Server证书的序列号

function TX509TrustManager.isServerTrusted(const ADCert: TCertificate):boolean;
begin
    //only check SN
   if (UpperCase(ADCert.SerialNum) = '1AFE100A09D8E894') or
      (UpperCase(ADCert.SerialNum) = '40F2768CE4B83190') then
      Result := True
   else
      Result := False;
end;

7、下面看看这两个工厂实例是如何初始化的

 

fname := System.IOUtils.TPath.GetDocumentsPath + PathDelim + 'myclient.pfx';
   F := TFileStream.Create(fname, fmOpenRead);
    try
      R := X509Cert.LoadFromStreamPFX(F, 'XF@dM1n');
      if R = 0 then
      begin
        ms := TMemoryStream.Create;
        if X509Cert.PrivateKeyExists  then
        begin
           X509Cert.SaveKeyToStreamPEM(ms, 'password');
           fname := System.IOUtils.TPath.GetSharedDocumentsPath + PathDelim + 'mykey.pem';
           ms.SaveToFile(fname);
           KeyManager.ImportFromFile(fname, 3, 'RSA', '', '', 2);
           vKey := KeyManager.Key.Key;
           vSize := Length(vKey);

        end;

      end
      else
        raise ECertificateException.Create('Failed to load certificate, PFX error ' + IntToHex(R, 4));
    finally
      F.Free;
      ms.Free;
    end;

   SetLength(vBytes, X509Cert.CertificateSize);
   Move(X509Cert.CertificateBinary^, vBytes[0], X509Cert.CertificateSize);
   LJArray := TJavaArray<Byte>.Create(Length(vBytes));
   Move(vBytes[0], LJArray.Data^, Length(vBytes));

   LJStream := TJByteArrayInputStream.JavaClass.init(LJArray);
   LJArray.Free;

  LJClientCert := TJCertificateFactory.JavaClass.getInstance(StringToJString('X.509')).generateCertificate(LJStream);
  LJCertChain := TJavaObjectArray<JCertificate>.create(1);
  LJCertChain.Items[0] := LJClientCert;
   LJArray := TJavaArray<Byte>.Create(vSize);
   move(vKey[0], LJArray.Data^, vSize);

   LJkeySpec := TJPKCS8EncodedKeySpec.JavaClass.Init(LJArray);
   LJKeyFactory := TJKeyFactory.JavaClass.getInstance(StringToJString('RSA'));
   LJKey := TJRSAPrivateKey.Wrap(LJkeyFactory.generatePrivate(TJKeySpec.Wrap(LJkeySpec)));


  // 實例化密鑰庫
   LJAlgorithm := TJKeyManagerFactory.JavaClass.getDefaultAlgorithm;
   s := JStringToString(LJAlgorithm);
   kmf := TJKeyManagerFactory.JavaClass.getInstance(LJAlgorithm);
   // 獲得密鑰庫
   key_store_type := TJKeyStore.JavaClass.getDefaultType;
   s := JStringToString(key_store_type);
   LJKS_PK := TJKeyStore.JavaClass.getInstance(StringToJString('AndroidKeyStore'));
   //只能是此方式,源码显示不接收非空参数
   LJKS_PK.load(nil, nil);
   LJKS_PK.setKeyEntry(StringToJString('mykey'), TJKey.Wrap(LJKey), nil, LJCertChain);
   kmf.init(LJKS_PK, StringToJString('XF@dM1n').toCharArray);

  //证书管理工厂
  LJKS_Cert := TJKeyStore.JavaClass.getInstance(StringToJString('AndroidKeyStore'));
  LJKS_Cert.load(nil, nil);
  //key_Store.setCertificateEntry(StringToJString('ca'), ca);
  LJKS_Cert.setCertificateEntry(StringToJString('LJClientCert'), LJClientCert);

  LJAlgorithm := TJTrustManagerFactory.JavaClass.getDefaultAlgorithm;
  s := JStringToString(LJAlgorithm); //#BKS
  tmf := TJTrustManagerFactory.JavaClass.getInstance(LJAlgorithm);
  tmf.init(LJKS_Cert);

  //设置自己的两个工厂
  FClient.SetTrustManagerFactory(tmf);
  FClient.setKeyManagerFactory(kmf);

 这里面用到SecureBlackBox的两个商业控件:KeyManager: TsbxCryptoKeyManager;
    X509Cert: TElX509Certificate;这套控件是跨平台的,很贵,但很方便。也可以用免费的Bouncy Castle来替换,但要对导出的JNI做大量修改,很费神,还要导出一些大D没提供的JNI。

 

 

sonadorje
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Delphi使用CryptoAPI生成证书及PHP(openssl)端签名验签
12-21
Delphi使用CryptoAPI生成自签名证书,PHP端使用该证书进行签名,Delphi作为客户端使用公钥进行验签。
IOS,Android SSL双向认证HTTPS方式请求及配置证书
10-14
IOS,Android SSL双向认证HTTPS方式请求及配置证书
delphi XE基于SSL的HTTPS服务器应用程序的认证文件(Certificate.cer、CACertificate1.cer、PrivateKey.key及OnGetPassword)的配置
pulledup的博客
04-26 2080
基于SSL的HTTPS服务器应用程序的认证文件的配置
SecureBlackbox 2022细粒度控制的同时
q2315702359的博客
10-18 346
SecureBlackbox包括多种功能强大的数据保护、安全存储和安全传输组件。这些组件专为在最苛刻的条件下使用而设计,在提供对所有安全选项的细粒度控制的同时,提供了尽可能最好的性能。客户端和服务器端支持主要Internet协议,包括FTP、HTTP、SFTP、WebDAV、REST、SMTP和POP3。一个完整的统一框架,具有一个通用的、易于学习的对象模型和简化的接口,使您能够做更多的事情。详细的参考文档、示例应用程序、完全索引的帮助文件和广泛的在线知识库。所有受支持平台和组件技术的本地开发组件。
移动支付delphiXE10.rar
02-23
通过研究这个压缩包中的源代码,开发者不仅可以了解到如何在Delphi XE10环境下实现移动支付功能,还可以深入理解微信支付和支付宝支付的API使用方法,这对于进一步开发支付相关的应用或服务非常有帮助。同时,源代码...
Delphi D10.X快速实现安卓状态栏沉浸模式
01-03
使用Delphi开发安卓APP时,我们经常想要实现状态栏沉浸样式,但这方面资料较少,基本算是没有,即便找到一两个实现的样例也并不一定合用。为此,我花了点时间观摩学习了JAVA及其他Delphi实现状态栏沉浸式的代码,在...
XE10 Android Zxing 实现竖屏扫二维码.docx
03-01
总的来说,实现Delphi XE10中基于ZXing的竖屏扫码功能,涉及到对ZXing源码的熟悉、Java到Delphi的接口封装、Android权限的管理以及Activity结果的处理等多个环节。通过这些步骤,开发者可以构建一个类似微信的高效、...
delphi安卓二维码扫描登入系统
03-29
这个资源是模拟腾讯拍照二维码登入QQ的实例,实例我没有进行加密处理,只是演示程序,希望研究这一块的,会有一定的引导作用
亲测DELPHI10xe各版本皆可使用的两个ssl DLL文件.rar
05-11
在win7 64位环境下亲测可用于delphixe10各版本,indy+ssl收发邮件,和qq邮箱,126邮箱互通。 配置时: OpenSSLHandler.SSLOptions.Method := sslvTLSv1; OpenSSLHandler.SSLOptions.Mode := sslmClient; POP3.IOHandler := OpenSSLHandler; POP3.Port := 995; //加密的端口号 POP3.UseTLS := utUseImplicitTLS;
Delphi XE android 自动 在线更新升级APP,然后自动安装的代码实现
10-14
Delphi XE android 更新 升级 自动 在线更新升级APP 然后自动安装的代码实现
Delphi通过https接口post数据
01-10
向web认证服务器通过https接口post认证数据,delphi2005正常使用。最初的的时候采用indy控件,IdHTTP和IdSSLIOHandlerSocketOpenSSL配合,但是没有成功,对方服务器连接后立即断开链接,不返回任何数据,后来通过网上查询,找到了这个方法,可以根据服务器的要求自定义头文件和post的内容。引用了WinINet,IDURI单元,其中CnMD5,CnBase64是认证业务需要加入的cnpack中的单元,和https链接无关。这种方法的另外一个好处是不用再调用indy引用的两个dll文件(libeay32.dll,ssleay32.dll),这两个文件和indy的版本还需要配套,比较麻烦,而且就是匹配了我也没有测试成功,可能和对方服务器的环境有关系,感觉还是后来的这种方式兼容性比较好。
使用delphi XE的IdHTTP控件POST的例子
10-14
使用delphi XE的IdHTTP控件POST的例子,IDHTTP速度很快,是个不错的控件
Winsoft Camera for Android 3.5 Delphi XE10.3.rar
08-24
总的来说,"Winsoft Camera for Android 3.5 Delphi XE10.3"提供了在Delphi和C Builder环境下开发Android相机应用的强大工具。通过这个组件,开发者可以高效地集成相机功能,专注于应用的核心逻辑,而不是底层API的...
Delphi XE 10 android安卓APP程序自动升级代码
12-08
网上找了一堆Delphi安卓APP程序自动升级方法都大多不太好用,有的需要配置WEB服务器,有的控制下载和升级管理麻烦,于是综合网上资料,根据项目需要整理了一个代码单元,可以直接调用,测试环境Delphi XE 10.3
DelphiXE10.3 开发 android 安卓 app 访问 https 服务端
又过一年
05-24 3838
Play Store 已经发布通知了,将在 2019年8月份的新APP必须使用https通讯方式才能上架市场。 现分享我在DelphiXE开发的安卓APP添加HTTPS通讯方式的实现方式 版本 DelphiXE10.3 + Indy10.6.2.5366 + openssl 步骤: 1、建立多媒体应用,设置项目 Target Platforms 为 AndroidAndroid SDK...
HttpClient 请求 Https 报错的SSL证书异常的问题,请使用以下方法解决。
沉心静气
03-14 1356
方法一,非长久之计,有失效风险(已经测试过,晚上好好的,白天就异常)方法二,应该比较稳妥一些。通过OpenSSL。
delphi xe ocv.core_c
最新发布
05-27
ocv.core_c 是 OpenCV 中的一个 C 语言接口,提供了一些基本的数据结构和函数,包括矩阵、图像、像素访问等。如果您想在 Delphi XE 中使用 ocv.core_c,您需要使用 Delphi XE 的 C 语言接口,将 C 语言的头文件和库文件引入 Delphi XE 中,并使用相应的函数和数据结构。以下是一个使用 Delphi XE 和 ocv.core_c 的示例代码,展示了如何使用 ocv.core_c 进行图像处理: ```delphi uses ocv.core_c, ocv.highgui_c; procedure ProcessImage(); var img: pIplImage; begin // 加载图像 img := cvLoadImage('image.jpg', CV_LOAD_IMAGE_COLOR); if img = nil then begin ShowMessage('Failed to load image!'); Exit; end; // 创建一个名为 'Input Image' 的窗口,并在其中显示图像 cvNamedWindow('Input Image', CV_WINDOW_AUTOSIZE); cvShowImage('Input Image', img); // 转换图像到灰度空间 cvCvtColor(img, img, CV_RGB2GRAY); // 创建一个名为 'Processed Image' 的窗口,并在其中显示处理后的图像 cvNamedWindow('Processed Image', CV_WINDOW_AUTOSIZE); cvShowImage('Processed Image', img); // 等待用户按下任意键 cvWaitKey(0); // 释放图像和窗口 cvReleaseImage(img); cvDestroyAllWindows(); end; ``` 这个示例代码加载一张名为 'image.jpg' 的图像,并在名为 'Input Image' 的窗口中显示它。然后,它将图像转换到灰度空间,并在名为 'Processed Image' 的窗口中显示处理后的图像。最后,它等待用户按下任意键,释放图像和窗口。注意,使用 ocv.core_c 需要注意数据类型的转换和内存管理,建议使用 Delphi XE 提供的 OpenCV 接口进行图像处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值