android中webView的https证书校验以及基于okhttp的接口https证书校验

已于 2022-03-21 14:06:43 修改
阅读量1.3k 收藏 2
点赞数
文章标签: webview https android
于 2022-03-11 09:44:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010161303/article/details/109531076
版权

webView证书校验:

通过chrome浏览器拿到证书cer文件

获取证书公钥

    public void readX509CerFile() {
        try {
            InputStream inStream = getAssets().open("ccc.cer");
            // 创建X509工厂类
            CertificateFactory cf = CertificateFactory.getInstance("X.509");
            // 创建证书对象
            X509Certificate oCert = (X509Certificate) cf
                    .generateCertificate(inStream);
            inStream.close();
            String info = null;
            // 获得证书版本
            Log.d(TAG, "publicKey: " + oCert.getPublicKey());
        } catch (Exception e) {
            e.printStackTrace();
        }
    }

证书公钥类

public class SslCert {

    public static final String[] keys = new String[]{
            "30820122300d06092a864886f70d01010105000382010f003082010a0282010100证书公钥0203010001"
    };
}

判断证书接口类

public class SslInterfance {


    public interface SslInterfase {
        void signSslResult(boolean result);
    }

    private static SslInterfase mSslInterfase;


    public static void setSslInterfase(SslInterfase sslInterfase) {
        mSslInterfase = sslInterfase;
    }


    public static void getUnsafeFromService(String url) {
        String[] publicKeys = SslCert.keys;
        try {
            X509TrustManager[] trustManagers = new X509TrustManager[]{
                    new X509TrustManager() {
                        @Override
                        public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {

                        }

                        @Override
                        public void checkServerTrusted(X509Certificate[] x509Certificates, String s) throws CertificateException {
                            if (x509Certificates == null) {
                                throw new IllegalArgumentException("check Service x509Certificates is null");
                            }
                            boolean expected = false;
                            for (X509Certificate certificate : x509Certificates) {
                                RSAPublicKey pubkey = (RSAPublicKey) certificate.getPublicKey();
                                String server = new BigInteger(1 /* positive */, pubkey.getEncoded()).toString(16);

                                for (String item : publicKeys) {//循环比对公钥,如果在信任列表里就验证成功
                                    if (item.equalsIgnoreCase(server)) {
                                        expected = true;
                                        break;
                                    }
                                }

                            }
                            Log.d("AAAAAAAAAQ", "expected: " + expected);
                            mSslInterfase.signSslResult(expected);
                        }

                        @Override
                        public X509Certificate[] getAcceptedIssuers() {
                            return new X509Certificate[0];
                        }
                    }
            };

            SSLContext sslContext = SSLContext.getInstance("TLS");
            sslContext.init(null, trustManagers, null);
            final HostnameVerifier hostnameVerifier = new HostnameVerifier() {
                @Override
                public boolean verify(String hostname, SSLSession session) {
                    HostnameVerifier hostnameVerifier1 = HttpsURLConnection.getDefaultHostnameVerifier();
                    boolean result = hostnameVerifier1.verify("*", session);
                    return result;
                }
            };

            OkHttpClient okHttpClient = new OkHttpClient.Builder().hostnameVerifier(hostnameVerifier).sslSocketFactory(sslContext.getSocketFactory(), trustManagers[0]).build();
//            String url = "https://www.baidu.com";
            Request request = new Request.Builder().url(url).build();
            Call call = okHttpClient.newCall(request);
            call.enqueue(new Callback() {
                @Override
                public void onFailure(Call call, IOException e) {
//                    Log.d("AAAAAAAAAQ", "onFailure: " + e.getMessage());
                }

                @Override
                public void onResponse(Call call, Response response) throws IOException {
                    final String res = response.body().string();
//                    Log.d("AAAAAAAAAQ", "onResponse: " + res);
                }
            });

        } catch (Exception e) {
            e.printStackTrace();
        }
    }

}

加载webView界面

SslInterfance.setSslInterfase(this);
SslInterfance.getUnsafeFromService(url);

回调方法

    @Override
    public void signSslResult(boolean result) {

        Log.d("AAAAAAAS", "signSslResult: " + result);
        if (result) {
            loadUrl(url);
        } else {
            loadUrl("file:///android_asset/Demo/blank.html");
            new Thread() {
                @Override
                public void run() {
                    runOnUiThread(new Runnable() {
                        @Override
                        public void run() {
                            Toast.makeText(MAMCordovaActivity.this, "当前界面证书验证失败!", Toast.LENGTH_SHORT).show();
                        }
                    });
                }
            }.start();


        }

    }

接口证书校验:

判断证书公钥方法

    class PubKeyManager implements X509TrustManager {
        String[] publicKeys = SslCert.keys;

        @Override
        public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {

        }

        @Override
        //锁定证书公钥在apk中
        public void checkServerTrusted(X509Certificate[] chain, String authType)
                throws CertificateException {
            if (chain == null) {
                throw new IllegalArgumentException(
                        "checkServerTrusted: X509Certificate array is null");
            }
            if (!(chain.length > 0)) {
                throw new IllegalArgumentException(
                        "checkServerTrusted: X509Certificate is empty");
            }
            if (!((null != authType)
                    && (authType.equalsIgnoreCase("RSA"))
                    || authType.equalsIgnoreCase("ECDHE_RSA"))) {
                throw new CertificateException(
                        "checkServerTrusted: AuthType is not RSA");
            }
            // Perform customary SSL/TLS checks
            try {
                TrustManagerFactory tmf = TrustManagerFactory.getInstance("X509");
                tmf.init((KeyStore) null);

                for (TrustManager trustManager : tmf.getTrustManagers()) {
                    ((X509TrustManager) trustManager).checkServerTrusted(chain,
                            authType);
                }
            } catch (Exception e) {
                throw new CertificateException(e);
            }

            // Hack ahead: BigInteger and toString(). We know a DER encoded Public Key begins
            // with 0?30 (ASN.1 SEQUENCE and CONSTRUCTED), so there is no leading 0?00 to drop.
            RSAPublicKey pubkey = (RSAPublicKey) chain[0].getPublicKey();
            String server = new BigInteger(1 /* positive */, pubkey.getEncoded()).toString(16);
            // Pin it!
            boolean expected = false;
            for (String item : publicKeys) {//循环比对公钥,如果在信任列表里就验证成功
                if (item.equalsIgnoreCase(server)) {
                    expected = true;
                    break;
                }
            }


            if (!expected) {
                throw new CertificateException(
                        "checkServerTrusted: Expected public key: " + server +
                                "not in trust");
            }
        }

        @Override
        public X509Certificate[] getAcceptedIssuers() {
            return new X509Certificate[0];
        }
    }

创建OkHttpClient

private OkHttpClient okHttpClient = null;

OkHttpClient.Builder b = new OkHttpClient.Builder();
b.cookieJar(new CookieJar() {
    private final HashMap<String, List<Cookie>> cookieStore = new HashMap<>();

    @Override
    public void saveFromResponse(HttpUrl url, List<Cookie> cookies) {
        cookieStore.put(url.host(), cookies);
    }

    @Override
    public List<Cookie> loadForRequest(HttpUrl url) {
        List<Cookie> cookies = cookieStore.get(url.host());
        return cookies != null ? cookies : new ArrayList<Cookie>();
    }
}).connectTimeout(connectTimeout, TimeUnit.SECONDS)
        .writeTimeout(writeTimeout, TimeUnit.SECONDS)
        .readTimeout(readTimeout, TimeUnit.SECONDS);

以上代码通过this.okHttpClient = b.build();可以直接拿到okHttpClient。需要验证https证书需要对OkHttpClient.Builder继续进行操作

        OkHttpClient.Builder b = new OkHttpClient.Builder();
        b.cookieJar(new CookieJar() {
            private final HashMap<String, List<Cookie>> cookieStore = new HashMap<>();

            @Override
            public void saveFromResponse(HttpUrl url, List<Cookie> cookies) {
                cookieStore.put(url.host(), cookies);
            }

            @Override
            public List<Cookie> loadForRequest(HttpUrl url) {
                List<Cookie> cookies = cookieStore.get(url.host());
                return cookies != null ? cookies : new ArrayList<Cookie>();
            }
        }).connectTimeout(connectTimeout, TimeUnit.SECONDS)
                .writeTimeout(writeTimeout, TimeUnit.SECONDS)
                .readTimeout(readTimeout, TimeUnit.SECONDS);

        this.okHttpClientForUpdate = b.build();
        if (&& URL.startsWith("https")//https
                && (URL.contains(".baidu.com") || URL.contains(".aaaa.com"))//此处可以增加开关人为控制或根据域名控制
        ) {//cdn
            try {
                X509TrustManager trustManager;
                trustManager = new PubKeyManager();
                SSLSocketFactory sslSocketFactory = null;
                SSLContext sslContext = null;
                sslContext = SSLContext.getInstance("TLS");
                //使用构建出的trustManger初始化SSLContext对象
                sslContext.init(null, new TrustManager[]{trustManager}, null);
                //获得sslSocketFactory对象
                sslSocketFactory = sslContext.getSocketFactory();
                b.sslSocketFactory(sslSocketFactory, trustManager);
            } catch (Exception ex) {
                ex.printStackTrace();
            }
            b.hostnameVerifier(new HostnameVerifier() {
                @Override
                public boolean verify(String hostname, SSLSession session) {
                    boolean verify = HttpsURLConnection.getDefaultHostnameVerifier().verify("*.baidu.com", session)
                            || HttpsURLConnection.getDefaultHostnameVerifier().verify("*.baiducdn.com", session);
                    return verify;
                }
            });
        }


        this.okHttpClient = b.build();

参考文章:Android安全开发之安全使用HTTPS - 阿里安全 - 博客园

衬衫的价格是九磅十五便士_
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android APP之WebView如何校验SSL证书
06-24 763
请参考以下代码,原理是:如果webview报告SSL错误,程序将会对服务器证书进行强校验,如果服务器传入证书的指纹(sha256)与记录值一致,说明webview证过程存在缺陷(如:手机日期错误、根证书被删除 等),忽略SSL错误;SSL错误的处理方式十分关键,如果处理不当,可能导致间人攻击,黑客窃听数据,进而引发安全事故。如果APP需要访问多张证书,请在代码加入多个证书指纹数值。在测试代码时,请将手机日期设置在证书有效期之前,判断WebView是否能正常访问HTTPS站点。
Android11系统连接WIFI显示网络连接受限
wq2249358611的博客
09-06 7983
使用Android11设备打开设置,选择WIFI输入正确密码连接,会显示已连接,无网络,然后变成网络连接受限,实际可以使用此WIFI进行上网
webview报SSl证书问题
Z_Try的博客
09-14 495
webview报ssl证书问题显示空白页
Android HttpsWebView
最新发布
2401_84103818的博客
04-11 691
由于题目很多整理答案的工作量太大,所以仅限于提供知识点,详细的很多问题和参考答案我都整理成了 PDF文件一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!既有适合小白学习的零基础资料,也有适合3年以上经的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Android开发知识点,真正体系化!
Android OkHttp进行单向证书校验(双向的需要服务端也配置证书
蓝色的天空的博客
05-31 2638
1.获取跟域名的证书文件 例如接口服务域名是 https://www.baidu.com/ 按照以下步骤导出证书信息,选择base64格式的.cer文件,用文本编辑器打开,复制证书信息 2.编写代码配置 // 证书信息进行缩减 private String CER_BAIDU = "xxxxxxxxxx"; //设置安全证书 public void setSafeOkHttpClient(OkHttpClient.Builder okhttpBuilder) { try {
关于抓包证书校验错误的解决方案
qq_40816289的博客
10-25 243
如果是Java httpclient报的错话 解决方案是重写一下证书校验逻辑 让他不要校验。如果是Python抓包代码证书异常的话 verify 参数改成false。
android Https的使用及双向证书
he先森的博客
05-08 300
转载:android Https的使用及双向证书
Android合规问题引起的https证书校验
我的专栏
10-12 1450
记录一下Android接口请求遇到的https证书相关的问题
Android webview手动校验https证书(by 星空武哥)
08-29
有些时候由于Android系统的bug或者其他的原因,导致我们的webview不能证通过我们的https证书,最明显的例子就是华为手机mate7升级到Android7.0后,手机有些网站打不开了,而更新了webview的补丁后就没问题了
Android APP之WebView校验SSL证书的方法
08-29
Android APP之WebView校验SSL证书的方法是Android应用程序一个非常重要的安全机制。SSL证书校验是指Android APPWebView组件在访问HTTPS站点时,如何证服务器提供的SSL证书,以确保数据的安全性和机密性。 ...
Android webview加载https链接错误或无响应的解决
08-19
Android WebView加载HTTPS链接错误或无响应的解决是Android开发常见的问题,当我们在使用WebView加载HTTPS链接时,如果认证证书不被Android认可,那么会出现无法成功加载对应资源问题。下面我们将详细介绍解决这个...
详解androidwebview加载网页(https和http)
08-28
Android ,当 WebView 加载 HTTPS 请求的网页时,如果该网站的安全证书无法被 Android 认证,WebView 就会变成一个空白页,而不会像 PC 浏览器那样跳出一个风险提示框。为了解决这个问题,我们需要在 ...
【漏洞修复】自定义实现的X509TrustManager子类..
热门推荐
技术的学习与积累是个技术活
07-27 1万+
漏洞说明 /** * 覆盖java默认的证书证 */ private static final TrustManager[] TRUSTALLCERTS = new TrustManager[]{ new X509TrustManager() { public java.security.cert.X509Certificate[] getAcceptedIssuers() { r
android 服务器证书校验,Android HTTPS证书证的简单方式
weixin_39607873的博客
05-26 2084
1. 背景与需求近期在做IP切换的HTTPS访问时,遇到了一些问题:客户端如何进行HTTPS证书证。其实对于一般的项目基本都是做的单向证,即在客户端证书或者HOST的证;对于金融、银行相关的项目才会使用的双向证,客户端与服务端之间都要对彼此进行证,以防止间人进行攻击。2.实现目标本文记录的是:客户端实现对HOST的证,这样基本满足一般项目的需求,也不需要客户端内置证书,引起更新时候...
Android OkHttpHttps的处理
仰望星空
07-30 9261
android的开发过程,我们目前常用到的网络请求框架基本都是基于Okhttp,而Https网络通信在APP的开发也被应用的越来越多,Okhttp默认是支持https网络请求的,但是支持的Https网站必须是CA机构认证了的,对于自签名的网址,还是不能访问的,访问直接抛出如下异常信息: onFailure: java.security.cert.CertPathValidatorExc...
Android使用Webview SSL 自签名CA证书安全校验方案
jsxin0816的博客
11-18 2653
Android使用Webview SSL 自签名证书校验
OkHttpWebView证书
weixin_41733225的博客
02-21 813
1、带证书证 public class OkHttpManager { public static final String TAG = "OkHttpManager"; /** * CERT_ALIAS 证书别名 */ public static final String CERT_ALIAS = "NCB"; /** * 超时时间 */ public static final int CONNECT_TIME_OU
安卓 https 证书校验和绕过
AzulSystems的博客
03-04 2379
吕元江。
Android OKHttp https java.io.IOException: Hostname was not verified 问题解决
will_han 的专栏
04-10 8597
最近公司的项目要转用https,这里主要还是用到鸿神的 GitHub,其设置可以访问所有网站代码是这样的 HttpsUtils.SSLParams sslParams = HttpsUtils.getSslSocketFactory(null, null, null); OkHttpClient okHttpClient = new OkHttpClient.Builder()
android webview https ssl
10-29
Android提供了WebView控件来加载和显示Web页面。在使用WebView加载HTTPS网页时,SSL(即Secure Sockets Layer)是必需的。 SSL是一种用于在Internet上保护数据传输安全的加密协议。它确保在浏览器和服务器之间传输的数据是加密的,以防止第三方篡改或窃听数据。 要在Android WebView使用SSL,需要采取以下步骤: 1. 配置WebView设置:在代码,我们可以通过设置WebView的WebSettings对象来启用JavaScript和SSL,以便加载HTTPS网页。可以使用以下代码进行设置: ``` WebView webView = findViewById(R.id.webview); WebSettings webSettings = webView.getSettings(); webSettings.setJavaScriptEnabled(true); webSettings.setDomStorageEnabled(true); webSettings.setAppCacheEnabled(true); webSettings.setCacheMode(WebSettings.LOAD_DEFAULT); ``` 2. 导入SSL证书:有时候,我们需要导入服务器的SSL证书,以便WebView可以信任该服务器。可以使用以下代码导入SSL证书: ``` InputStream inputStream = getAssets().open("ssl_cert.cer"); CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509"); X509Certificate x509Certificate = (X509Certificate) certificateFactory.generateCertificate(inputStream); inputStream.close(); KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType()); keyStore.load(null, null); keyStore.setCertificateEntry("ssl_cert", x509Certificate); String defaultAlgorithm = KeyManagerFactory.getDefaultAlgorithm(); KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(defaultAlgorithm); keyManagerFactory.init(keyStore, null); TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(defaultAlgorithm); trustManagerFactory.init(keyStore); SSLContext sslContext = SSLContext.getInstance("TLS"); sslContext.init(null, trustManagerFactory.getTrustManagers(), null); SSLSocketFactory sslSocketFactory = sslContext.getSocketFactory(); webSettings.setJavaScriptCanOpenWindowsAutomatically(true); webSettings.setUseWideViewPort(true); webSettings.setBuiltInZoomControls(true); webSettings.setDisplayZoomControls(false); webSettings.setSupportZoom(true); webSettings.setAllowFileAccess(true); webSettings.setAllowContentAccess(true); webView.setWebViewClient(new WebViewClient()); webView.getSettings().setJavaScriptEnabled(true); webView.loadUrl("https://www.example.com"); ``` 通过以上步骤,我们就可以在Android WebView加载HTTPS安全网页并保持通信的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值