鸿蒙双向认证

于 2024-09-06 10:54:56 发布
阅读量136 收藏 3
点赞数 2
分类专栏: 鸿蒙 文章标签: harmonyos 华为
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xo19882011/article/details/141954098
版权

鸿蒙双向认证

开发环境 基于API12

参考文档

切换到鸿蒙也要用上双向认证。使用的其中的 rcp 功能,详细文档https://developer.huawei.com/consumer/cn/doc/harmonyos-references-V5/remote-communication-rcp-V5

双向认证包含两个方向,分为客户端验证服务端的证书和服务端验证客户端的证书。

客户端验证服务端的证书

这个就需要把服务端的证书内置在客户端里边,并且在请求的时候获取到服务端的证书,然后自己进行对比证书是否同内置的一样。

服务器证书的校验等级有以下几种:

  1. DefaultTrustEvaluator,使用默认的验证方式,验证证书的有效性,证书信任链那套
  2. RevocationTrustEvaluator,验证证书是否被吊销
  3. PinnedCertificatesTrustEvaluator,验证证书是否同本地的一致,可以是自签证书
  4. PublicKeysTrustEvaluator,验证证书的公钥,可以是自签证书,不过这个有个好处就是不用关心证书的有效期了
  5. CompositeTrustEvaluator,混合模式
  6. DisabledTrustEvaluator,不验证证书

可以按需自己处理。本文以对比公钥为例。

首先获取本地证书及证书的公钥。

let context = getContext(this)
const getRawFileContent = (ctx: Context, file: string) : string => {
  let buffer = ctx.resourceManager.getRawFileContentSync(file).buffer
  return String.fromCharCode(...new Uint8Array(buffer))
}

function stringToUint8Array(str: string): Uint8Array {
  let arr: Array<number> = [];
  for (let i = 0, j = str.length; i < j; i++) {
    arr.push(str.charCodeAt(i));
  }
  return new Uint8Array(arr);
}

const uInt8ToString = (buffer: Uint8Array): string => {
  return String.fromCharCode(...new Uint8Array(buffer))
}

let serverCert: cert.X509Cert | null = null
let serverCertStr: string | null = null

cert.createX509Cert({
  data: stringToUint8Array(getRawFileContent(context, 'server.cer')),
  encodingFormat: cert.EncodingFormat.FORMAT_DER
}).then(x509Cert => {
  serverCert = x509Cert

  serverCertStr = uInt8ToString(serverCert?.getPublicKey().getEncoded().data)
}).catch((error: BusinessError) => {
})

增加自定义验证证书函数。对比公钥是否一致。

{
  security: {
    remoteValidation: (context: rcp.ValidationContext) => {
      let tar = uInt8ToString(context.x509Certs[0].getPublicKey().getEncoded().data)
      if (serverCertStr === tar) {
        return true
      }
      return false
    },
  },
}

这样客户端就验证了服务端证书是否符合要求。

服务端验证客户端的证书

由于接口请求的问题,需要把客户端证书写入到沙盒里边,然后把沙盒地址传进去,就有点麻烦。

首先写入客户端证书到沙盒。

本文需要使用到crt及key两个文件。接口crt文件需要文本形式,但是key又需要沙盒地址。

const getRawFileContent = (ctx: Context, file: string) : string => {
  let buffer = ctx.resourceManager.getRawFileContentSync(file).buffer
  return String.fromCharCode(...new Uint8Array(buffer))
}

let context = getContext(this)
let filesDir = context.filesDir

function saveFile(fn: string) {
  let file = fs.openSync(filesDir + '/' + fn, fs.OpenMode.READ_WRITE | fs.OpenMode.CREATE)
  let clientContent = context.resourceManager.getRawFileContentSync(fn)
  fs.writeSync(file.fd, clientContent.buffer)
  fs.fsyncSync(file.fd)
  fs.closeSync(file)
}

saveFile('client.key')

然后提供客户端证书给服务端进行校验。

{
  security: {
    certificate: {
      content: getRawFileContent(context, 'client.crt'),
      key: filesDir + '/client.key',
      type: 'PEM',
      keyPassword: 'xxx'
    },
  },
}

这样就能把证书提供给服务端进行校验了。

完整实例

import { BusinessError } from '@ohos.base';
import { rcp } from "@kit.RemoteCommunicationKit";
import fs from '@ohos.file.fs';
import { cert } from '@kit.DeviceCertificateKit';
import { cryptoFramework } from '@kit.CryptoArchitectureKit';

const getRawFileContent = (ctx: Context, file: string) : string => {
  let buffer = ctx.resourceManager.getRawFileContentSync(file).buffer
  return String.fromCharCode(...new Uint8Array(buffer))
}

let context = getContext(this)
let filesDir = context.filesDir

function saveFile(fn: string) {
  let file = fs.openSync(filesDir + '/' + fn, fs.OpenMode.READ_WRITE | fs.OpenMode.CREATE)
  let clientContent = context.resourceManager.getRawFileContentSync(fn)
  fs.writeSync(file.fd, clientContent.buffer)
  fs.fsyncSync(file.fd)
  fs.closeSync(file)
}

saveFile('client.key')

function stringToUint8Array(str: string): Uint8Array {
  let arr: Array<number> = [];
  for (let i = 0, j = str.length; i < j; i++) {
    arr.push(str.charCodeAt(i));
  }
  return new Uint8Array(arr);
}

const uInt8ToString = (buffer: Uint8Array): string => {
  return String.fromCharCode(...new Uint8Array(buffer))
}

let serverCert: cert.X509Cert | null = null
let serverCertStr: string | null = null

cert.createX509Cert({
  data: stringToUint8Array(getRawFileContent(context, 'server.cer')),
  encodingFormat: cert.EncodingFormat.FORMAT_DER
}).then(x509Cert => {
  serverCert = x509Cert

  serverCertStr = uInt8ToString(serverCert?.getPublicKey().getEncoded().data)
}).catch((error: BusinessError) => {
  console.error('createX509Cert failed, errCode: ' + error.code + ', errMsg: ' + error.message);
})

const defaultTimeout: number = 60*1000

const createRequestConfiguration = (timeout: number): rcp.Configuration => {
  return {
    security: {
      remoteValidation: (context: rcp.ValidationContext) => {
        let tar = uInt8ToString(context.x509Certs[0].getPublicKey().getEncoded().data)
        if (serverCertStr === tar) {
          return true
        }
        return false
      },
      certificate: {
        content: getRawFileContent(context, 'client.crt'),
        key: filesDir + '/client.key',
        type: 'PEM',
        keyPassword: 'xxx'
      },
    },
    transfer: {
      autoRedirect: true,
      timeout: {
        connectMs: 5000,
        transferMs: timeout,
      }
    }
  }
}

const sessionConfig: rcp.SessionConfiguration = {
  requestConfiguration: createRequestConfiguration(defaultTimeout)
}

const session: rcp.Session = rcp.createSession(sessionConfig)

export const rcpget = (url:string, timeout: number = defaultTimeout):Promise<object> => {
  return new Promise((resolve, reject) => {
    let request = new rcp.Request(url, 'GET', getHeaders())
    if (timeout != defaultTimeout) {
      request.configuration = createRequestConfiguration(timeout)
    }
    session.fetch(request).then((response:rcp.Response) => {
      if (response.statusCode == 200) {
        resolve(data)
      } else {
        reject()
      }
    }).catch((err: BusinessError) => {
      reject()
    })
  })
}

export const rcppost = (url: string, params: Record<string, string | number>, timeout: number = defaultTimeout):Promise<object> => {
  let p: string[] = []
  for(let kv of Object.entries(params)) {
    p.push(`${kv[0]}=${kv[1]}`)
  }
  let pstr: string = p.join('&')
  return new Promise((resolve, reject) => {
    let request: rcp.Request
    if (pstr == '') {
      request = new rcp.Request(url, 'POST', getHeaders())
    } else {
      request = new rcp.Request(url, 'POST', getHeaders(), pstr)
    }
    if (timeout != defaultTimeout) {
      request.configuration = createRequestConfiguration(timeout)
    }
    session.fetch(request).then((response:rcp.Response) => {
      if (response.statusCode == 200) {
        resolve(data)
      } else {
        reject()
      }
    }).catch((err: BusinessError) => {
      reject()
    })
  })
}

如此这般就能实现双向认证。感觉安全级别又上了一个等级。

xyccstudio
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
HarmonyOS开发者认证高级考试相关知识整理
m0_46988126的博客
12-09 1万+
分布式软总线是手机、平板、智能穿戴、智慧屏、车机等分布式设备的通信基座,不仅为设备之间的互联互通提供了统一的分布式通信能力,还为设备之间的无感发现和零等待传输创造了条件。在Column和Row容器组件中,alignItems用于设置子组件在主轴方向上的对齐格式,justifyContent用于设置子组件在交叉轴方向上的对齐格式。F:属性方法:用于组件属性的配置,统一通过属性方法进行设置,如fontSize()、width()、height()、color()等。
鸿蒙HarmonyOS编程开发:TLS安全数据传输双向认证示例
DMZDAMS的博客
07-17 680
要实现双向认证,就需要服务端在握手时提出客户端的数字证书认证需求,以ECDHE算法的握手过程为例,在第二次握手时,需要服务端发送Certificate Request消息给客户端,表明是双向认证的,在第三次握手时,客户端发送Certificate消息给服务端,其中就包含证书信息。
华为鸿蒙HarmonyOS应用开发者高级认证题库
suya的博客
06-12 3713
HarmonyOS 应用开发者高级认证题库分享
鸿蒙开发】HarmonyOS应用开发者基础认证题库
u013009624的博客
01-29 6331
D. 内置组件: ArkTS中默认内置的基本组件和布局组件,开发者可以直接调用,如Column. Text, Divider. Button等。E. 属性方法:用于组件属性的配置,统- -通过属性方法进行设置,如fontSize0. width0. height)、 color( 等。F. 事件方法:用于添加组件对事件的响应逻辑,统-通过事件方法进行设置,如跟随在Button后面的onClick)。A. 装饰器:用来装饰类.结构体、方法以及变量,赋予其特殊的含义,例如@Entry表示这是个入口组件。
HarmonyOS应用开发者高级认证
系统看你学习很认真,随机送了一个月会员!
03-07 7020
恭喜您有意向成为HarmonyOS应用开发者高级认证专家!以下是您可以采取的步骤:准备知识和技能:确保您具备深入了解和熟练掌握HarmonyOS应用开发所需的知识和技能。这包括对HarmonyOS的架构、开发工具和基本概念的理解,以及应用开发技术和分布式应用开发的实践经验。学习和培训:参加针对HarmonyOS应用开发的培训课程和学习资料,深入了解HarmonyOS的开发方法和最佳实践。这些培训和学习资源可以来自HarmonyOS官方文档、开发者社区、线上课程等渠道。
HarmonyOS应用开发者高级认证 word试题及答案
12-21
【 HarmonyOS 应用开发者高级认证】涉及到的知识点主要涵盖 HarmonyOS 应用的开发、设计、部署和测试等方面。以下是这些知识点的详细说明: **一、端云一体化开发** 1. **端云一体化开发**:允许开发者通过统一的...
HarmonyOS应用开发者基础认证考试题目及答案
11-19
HarmonyOS 应用开发者基础认证考试涵盖了HarmonyOS应用开发的核心知识,包括数据存储、组件使用、生命周期管理、网络请求以及界面布局等多个方面。以下是这些知识点的详细解释: 1. **首选项Preferences**:...
HarmonyOS应用开发者基础认证 word试题及答案
12-21
HarmonyOS 应用开发者基础认证知识点总结 一、 HarmonyOS 生命周期 * 每一个自定义组件都有自己的生命周期。 * 使用@Component 修饰的自定义组件都支持 onPageShow、onBackPress 和 onPageHide 生命周期函数。 二...
鸿蒙高级开发者认证题库
05-21
本文将深入解析“鸿蒙高级开发者认证题库”中的知识点,包括但不限于鸿蒙操作系统(HarmonyOS)的基本概念、应用开发流程、组件特性及使用技巧等。通过本篇文章的学习,读者将能够更好地理解HarmonyOS的应用开发原理...
HarmonyOS开发实战( Beta5版)线程间通信场景最佳实践
weixin_55362248的博客
09-02 1077
在应用开发中,经常会需要处理一些耗时的任务,如果全部放在主线程中执行就会导致阻塞,从而引起卡顿或者掉帧现象,降低用户体验,此时就可以将这些耗时操作放到子线程中处理。
HarmonyOS开发实战( Beta5版)跨线程序列化耗时点分析工具使用规范指南
weixin_55362248的博客
09-02 1407
DevEco Studio新增主线程序列化和反序列化检测能力,同时支持配置序列化/反序列化超时阈值。对于超过阈值的序列化和反序列化操作,在泳道中给出告警提示,并可以关联该时刻的调用栈信息,更好地帮忙开发者定位性能问题。
HarmonyOS开发实战( Beta5版)多线程能力场景化示例最佳实践
weixin_55362248的博客
09-02 1567
并发的意思是多个任务同时执行。并发模型分为两大类:基于内存共享的并发模型和基于消息传递的并发模型。
HarmonyOS开发实战( Beta5版)不要使用函数/方法作为复用组件的入参规范实践
weixin_55362248的博客
09-03 1141
复用时会触发组件的构造,如果函数入参中存在耗时操作,会影响复用性能。
鸿蒙OS创新实践:动态声控话筒开发指南
s297165331的专栏
09-05 337
鸿蒙OS的生态中,开发者们不断探索和创新,以期为用户带来更丰富的交互体验。最近,我萌生了一个想法:制作一个能够随着声音动态变化的话筒组件。尽管网络上缺乏现成的参考案例,但我决定亲自动手,将这一创意变为现实。本文将深入解析这一开发过程,分享我的实战经验和技术细节。通过本文的详细解析,我们不仅实现了一个动态声控话筒组件,还深入了解了鸿蒙OS中的绘图API和动态效果实现方法。希望这篇文章能够为其他开发者提供灵感和指导,共同推动鸿蒙生态的创新与发展。
鸿蒙轻内核M核源码分析系列二一 02 文件系统LittleFS
鸿蒙开发知识记录
09-05 300
会分2部分来介绍结构体部分,先介绍LittleFS文件系统的结构体,然后介绍LiteOS-M内核中提供的和LittleFS相关的一些结构体。
【HarmonyOS】头像圆形裁剪功能之手势放大缩小,平移,双击缩放控制(三)
最新发布
我的小窝
09-05 277
头像圆形裁剪之手势缩放,拖动,双击缩放的实现
鸿蒙OS试题(2)
SSRppIG的博客
08-31 966
随着开发的深入,项目中的ArkTS源代码文件逐渐积累了大量import语句,其中不乏未使用的import以及不规范的排序情况,关于DevEco studio的编辑器的“optimize Imports”,以下说法正确的是。3、在发布时,常常会修正一些在发布过程中发现的问题。3、靠人手堂恢复环境。D.反向调试能力:允许开发者在调试过程中回退回到之前的代码行或断点,不仅查看过去的堆栈信息,还能重现历史的全局、静态和局部变量状态,帮助深入理解代码历史行为,特鄙视对于复杂逻辑和难以浮现的bug定位至关重要。
HarmonyOS开发实战( Beta5.0)系统提供的接口实践规范
weixin_55362248的博客
09-05 819
在应用开发中,经常会调用系统提供的接口,比如读取本地文件、处理服务端数据等等。若对接口使用不合理,可能引起延迟、卡顿、丢帧等性能问题。本文以如下系统提供的接口为例,总结了使用中的注意事项。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xyccstudio

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值