Android Https和WebView

系统会提示说不安全，因为网站通过js就能调用你的android代码，如果你确认你的网站没用到JS的话就不要打开这个开关，如果用到了，就添加一个注解忽略它就行了。

后来就使用我们公司的网站了，发现也出不来，后来发现公司网站用到了dom存储，所以还需要打开这个开关：

webView.settings.domStorageEnabled = true

xml配置自定义证书对WebView也是生效的，但是我们上面也说了，xml配置的方式只对Android7.0或更高版本才有用，那在低版本中如何让WebView信任自定义证书呢？网上的答案是直接忽略证书，如下：

webView.webViewClient = object: WebViewClient() {override fun onReceivedSslError(view: WebView?, handler: SslErrorHandler?, error: SslError) {handler?.proceed()}

这个onReceivedSslError函数默认是调用handler.cancel()来处理SSL错误的，调用cancel即表示不与服务器进行通信，调用proceed即表示要与服务器通信（虽然证书有问题）。

这样的做法是不安全的，而且这样的代码也无法把app上传到谷歌市场，因为必须要有对应的cancel调用，说白了就是要我们自己去验证证书的合法性，合法就调用proceed，否则调用cancel，代码如下（用到了OkHttp的相关类）：

webView.webViewClient = object: WebViewClient() {override fun onReceivedSslError(view: WebView?, handler: SslErrorHandler?, error: SslError) {val message =  when (error.primaryError) {SslError.SSL_DATE_INVALID -> "证书日期无效"SslError.SSL_EXPIRED -> "证书已过期。"SslError.SSL_IDMISMATCH -> "主机名不匹配。"SslError.SSL_INVALID -> "发生一般错误"SslError.SSL_MAX_ERROR -> "不同SSL错误的数量。"SslError.SSL_NOTYETVALID -> "证书尚未生效。"SslError.SSL_UNTRUSTED -> "证书颁发机构不受信任。" // 自定义证书会执行到这个分支来else -> "SSL证书错误,错误码：${error.primaryError}"}Timber.i("SSL错误：$message")if (error.primaryError == SslError.SSL_UNTRUSTED) {// 证书颁发机构不受信任，则我们需要判断一下是否是我们自己的自定义证书，是的话就忽略这个错误val certificateFactory: CertificateFactory = CertificateFactory.getInstance("X.509")val certificate = certificateFactory.generateCertificate(resources.openRawResource(R.raw.xxx)) as X509Certificateval mX509CertificateFiled = SslCertificate::class.java.getDeclaredField("mX509Certificate").apply { isAccessible = true }val mX509Certificate = mX509CertificateFiled.get(error.certificate) as X509Certificateval certificates = HandshakeCertificates.Builder().addTrustedCertificate(certificate) // 信任指定的自定义证书.addPlatformTrustedCertificates()  // 信任系统的预装证书，如果不信任系统证书的话，比如在访问https://m.baidu.com时将会出错.build()try {certificates.trustManager.checkServerTrusted(arrayOf(mX509Certificate), "RSA")Timber.i("是我们的自定义证书")handler?.proceed()} catch (e: java.lang.Exception) {Timber.e(e, "非法证书")handler?.cancel()}}} else {super.onReceivedSslError(view, handler, error)}}}

上面代码做了版本判断，因为Android7.0或以上版本直接使用xml中的配置。

主要原理就是把手机本地的自定义证书实例化到代码中，并封装到X509TrustManager对象中，此对方就能用于判断服务器的证书和我们的证书是否是在一个合法的证书链里面的，通过调用error.certificate.x509Certificate得到服务器上的证书，通过trustManager.checkServerTrusted(arrayOf(mX509Certificate), “RSA”)来检查服务器的证书和我们的证书是否是在一个合法的链上的，如果合法就正常通过调用，不合法就抛出异常。

开始我是直接比较本地的证书和服务器的证书是否一样来实现的，后来服务器改了，服务器先生成一个证书，再通过这个证书又签名出另一个证书，证书还能再签名出别的证书，这就是一条链，现在手机端和服务器端上的证书是不一样的了，但是因为他们是在同一个链的，所以也能认证通过，所以这种情况下不能使用比较是否是同一个证书的做法，而是比较是否是同一个链。

比较是否是同一个证书的代码也很简单，如下：

val isSameCertifiate = certificate == error.certificate.x509Certificate

这里用的是kotlin语言，实现是调用equals方法比较的，equals方法中的实现是把证书读取为编码后的字节数据，然后比较两个数组是否一样。

当服务器端和客户端一个是根证书，一个是由根证书颁发的子证书时，还可以用另一种方法验证，先说明一下证书生成的情况：

一、根证书

• 根公钥

• 根私钥

• 根证书（装有根公钥，使用根私钥签名）

二、中间证书1

• 中间公钥1

• 中间私钥1

• 中间证书1 (装有中间公钥1，并用根私钥签名）

三、中间证书2

• 中间公钥2

• 中间私钥2

• 中间证书2 (装有中间公钥2，并用根私钥签名）

我们知道rsa签名的规则为：私钥签名，对应的公钥验证签名。中间证书1和中间证书2都是用根证书的私钥签名的，所以可使用根证书中的公钥进行验证中间证书1和2中的签名。

反过来就不行了，根证书中的签名无法使用中间证书中的公钥验证，因为根证书的签名不是用中间证书的私钥签名的。

中间证书1的签名也无法用中间证书2的公钥进行验证，因为中间证书1的签名不是使用中间证书2的私钥签名的。

OK，了解了这个原理之后，我们就可以实现在WebView中，使用公钥来验证服务器的证书是否是我们公司的证书。在我们公司的项目中，也存在上面结构的一些证书，根证书放在手机端，中间证书放在了服务器端，所以可以使用根证书的公钥来验证中间证书的签名，如果能验证通过，说明服务器上的证书是可信（不是别人公司的），伪代码如下：

中间证书.验证签名(根证书.公钥），翻译成代码如下：

middleCert.verifySign(rootCert.publicKey)

真实代码如下：

val certificateFactory: CertificateFactory = CertificateFactory.getInstance("X.509")val rootCert = certificateFactory.generateCertificate(resources.openRawResource(R.raw.rootCert))val middleCert = error.certificate.x509Certificatetry {middleCert.verify(rootCert.publicKey)Timber.i("验证通过")} catch (e: java.lang.Exception) {Timber.e(e,"验证失败")}

中间证书也可能会颁发子证书，但是只能使用父证书的公钥来验证子证书的签名，反过来就不行。

三、Android6.0及更低版本的CA证书信任处理

=========================================================================================

测试的时候发现上面的设置方法对于Android6.0及更低版本无效，通过了解才知道了原因：

在Android 6.0的时候，在清单文件的application节点中新增了一个属性android:usesCleartextTraffic，含义为“使用明文通信”，设置为true则为允许使用http（明文）请求，设置为false则不允许使用http请求，只能使用https（加密）请求。

在Android7.0的时候，新增了通过network_security_config.xml的方式来配置https请求。

所以，xml配置https是在7.0的时候才出来的，用到更低的版本上肯定是不生效的，谷歌官网上只是说了在Android6.0的版本时它的默认设置是怎样的，并没有说我们在xml中的设置可以在Android6.0中起作用。

谷哥说的各种版本的https默认配置如下：

Android 9（API 级别 28）及更高版本为目标平台的应用的默认配置如下所示：

    <base-config cleartextTrafficPermitted="false"><trust-anchors><certificates src="system" /></trust-anchors></base-config>

可以看到，当你在gradle中把目标版本设置为false时，默认的https配置是不允许使用明文通信的（http通信），而且默认信任系统类型的预装CA证书。所以，当我们他创建一个新项目的时候，默认目标版本都29或30或更高，我们声明了网络访问权限，确发现访问http时访问不了，就是因为默认不允许使用http了，如果你坚持想要使用http（明文通信），则可以把cleartextTrafficPermitted设置为true即可。

Android 7.0（API 级别 24）到 Android 8.1（API 级别 27）为目标平台的应用的默认配置如下所示：

    <base-config cleartextTrafficPermitted="true"><trust-anchors><certificates src="system" /></trust-anchors></base-config>

以 Android 6.0（API 级别 23）及更低版本为目标平台的应用的默认配置如下所示：

    <base-config cleartextTrafficPermitted="true"><trust-anchors><certificates src="system" /><certificates src="user" /></trust-anchors></base-config>

这只是说明Android6.0中关于https的默认行为配置是这样的，并不等于你可以在xml中修改一下就能修改到这些配置，因为在Android6.0的时候还没有使用xml进行配置的方式。

那Android6.0及更低版本应该如何处理呢？看国外文章有说可以使用：https://github.com/datatheorem/TrustKit-Android，该库可使用和高版本的方式一样配置，并兼容低版本，但是我使用时不行，不知道是不是因为我使用的是ip访问，而不是域名方法，它的初始化代码中使用到了域名。

还有另一个库也可以：https://github.com/commonsguy/cwac-netsecurity/blob/master/README-original.markdown

一个可以支持证书的自定义WebView：https://github.com/yonekawa/webview-with-client-certificate

一个很多人讨论的关于WebView中使用自定义证书的事：https://issuetracker.google.com/issues/36917164

实现双向认证：https://blog.csdn.net/kpioneer123/article/details/51491739

https的版本支持：https://blog.csdn.net/ceko_wu/article/details/50954678

最后，还是通过设置OkHttp来完成低版本的Https认证，如下：

val builder = OkHttpClient.Builder()if (Build.VERSION.SDK_INT < Build.VERSION_CODES.N) {val certificateFactory: CertificateFactory = CertificateFactory.getInstance("X.509")val certificate = certificateFactory.generateCertificate(resources.openRawResource(R.raw.xxx)) as X509Certificateval certificates = HandshakeCertificates.Builder().addTrustedCertificate(certificate) // 信任指定的自定义证书.addPlatformTrustedCertificates()  // 信任系统的预装证书，如果不信任系统证书的话，比如在访问https://m.baidu.com时将会出错.build()builder.sslSocketFactory(certificates.sslSocketFactory(), certificates.trustManager)}val okHttpClient = builder.build()

这里也做了版本判断，因为Android7.0或以上版本直接使用xml中的配置即可。

谷歌官方实现链接：https://developer.android.google.cn/training/articles/security-ssl#UnknownCa ，因为没有用到OkHttp，所以会麻烦一些。代码如下：

    // Load CAs from an InputStream// (could be from a resource or ByteArrayInputStream or ...)val cf: CertificateFactory = CertificateFactory.getInstance("X.509")// From https://www.washington.edu/itconnect/security/ca/load-der.crtval caInput: InputStream = BufferedInputStream(FileInputStream("load-der.crt"))val ca: X509Certificate = caInput.use {cf.generateCertificate(it) as X509Certificate}System.out.println("ca=" + ca.subjectDN)// Create a KeyStore containing our trusted CAsval keyStoreType = KeyStore.getDefaultType()val keyStore = KeyStore.getInstance(keyStoreType).apply {load(null, null)setCertificateEntry("ca", ca)}// Create a TrustManager that trusts the CAs inputStream our KeyStoreval tmfAlgorithm: String = TrustManagerFactory.getDefaultAlgorithm()val tmf: TrustManagerFactory = TrustManagerFactory.getInstance(tmfAlgorithm).apply {init(keyStore)}// Create an SSLContext that uses our TrustManagerval context: SSLContext = SSLContext.getInstance("TLS").apply {init(null, tmf.trustManagers, null)}// Tell the URLConnection to use a SocketFactory from our SSLContext### 总结**其实上面说了这么多，钱是永远赚不完的，在这个知识付费的时代，知识技能提升才是是根本！我作为一名8年的高级工程师，知识技能已经学习的差不多。**在看这篇文章的可能有刚刚入门，刚刚开始工作，或者大佬级人物。像刚刚开始学Android开发小白想要快速提升自己，最快捷的方式，就是有人可以带着你一起分析，这样学习起来最为高效，所以这里分享一套高手学习的源码和框架视频等精品Android架构师教程，保证你学了以后保证薪资上升一个台阶。**这么重要的事情说三遍啦！点赞+点赞+点赞！**
![](https://img-blog.csdnimg.cn/img_convert/c86a2d9c0c46b2220dbee7dc1d966e99.webp?x-oss-process=image/format,png)### 【Android高级架构师系统学习资料】高级架构师进阶必备——设计思想解读开源框架  第一章、热修复设计
第二章、插件化框架设计
第三章、组件化框架设计
第四章、图片加载框架
第五章、网络访问框架设计
第六章、RXJava 响应式编程框架设计
第七章、IOC 架构设计
第八章、Android 架构组件 Jetpack![](https://img-blog.csdnimg.cn/img_convert/587911bde19cae184ea2c3adf9d00604.webp?x-oss-process=image/format,png)**其实上面说了这么多，钱是永远赚不完的，在这个知识付费的时代，知识技能提升才是是根本！我作为一名8年的高级工程师，知识技能已经学习的差不多。**在看这篇文章的可能有刚刚入门，刚刚开始工作，或者大佬级人物。像刚刚开始学Android开发小白想要快速提升自己，最快捷的方式，就是有人可以带着你一起分析，这样学习起来最为高效，所以这里分享一套高手学习的源码和框架视频等精品Android架构师教程，保证你学了以后保证薪资上升一个台阶。**这么重要的事情说三遍啦！点赞+点赞+点赞！**
[外链图片转存中...(img-iCJIARD3-1725987912059)]### 【Android高级架构师系统学习资料】高级架构师进阶必备——设计思想解读开源框架  第一章、热修复设计
第二章、插件化框架设计
第三章、组件化框架设计
第四章、图片加载框架
第五章、网络访问框架设计
第六章、RXJava 响应式编程框架设计
第七章、IOC 架构设计
第八章、Android 架构组件 Jetpack[外链图片转存中...(img-iEHUuRjX-1725987912060)]