Android APP之WebView如何校正SSL認證

標籤：Android   webview   ssl   53   

Android系統的片段化很嚴重，並且手機日期不正確、手機根憑證異常、com.google.android.webview BUG等各種原因，都會導致WebViewClient無法訪問HTTPS網站。SSL錯誤的處理方式十分關鍵，如果處理不當，可能導致中間人攻擊，駭客竊聽資料，進而引發安全事故。

嚴謹地處理onReceivedSslError尤為重要。請參考以下代碼，原理是：如果webview報告SSL錯誤，程式將會對伺服器憑證進行強校正，如果伺服器傳入認證的指紋(sha256)與記錄值一致，說明webview驗證過程存在缺陷(如：手機日期錯誤、根憑證被刪除 等)，忽略SSL錯誤；如果認證匹配失敗，表明資料通訊有問題，保留阻斷。

請先點擊 這裡，擷取認證的指紋(sha256)，然後調整代碼中的MySSLCNSHA256陣列變數。如果APP需要訪問多張認證，請在代碼中加入多個認證指紋數值。在測試代碼時，請將手機日期設定在認證有效期間之前，判斷WebView是否能正常訪問HTTPS網站。

 

webview.setWebViewClient(new WebViewClient() {    @Override    public void onReceivedSslError(WebView view, SslErrorHandler handler, SslError error) {if (error.getPrimaryError() == SslError.SSL_DATE_INVALID  // 日期不正確    || error.getPrimaryError() == SslError.SSL_EXPIRED // 日期不正確    || error.getPrimaryError() == SslError.SSL_INVALID // webview BUG    || error.getPrimaryError() == SslError.SSL_UNTRUSTED) { // 根憑證丟失    if (chkMySSLCNCert(error.getCertificate())) {        handler.proceed();  // 如果認證一致，忽略錯誤    }}    }        private boolean chkMySSLCNCert(SslCertificate cert) {byte[] MySSLCNSHA256 = { 35, 76, 110, -121, -68, -104, -12, 84, 39, 119, -55,    101, 95, -8, -90, 9, 36, -108, 5, -57, 76, -98, -19, -73, 91, -37, 18,    64, 32, -41, 0, 109 };  //認證指紋    Bundle bundle = SslCertificate.saveState(cert);    byte[] bytes = bundle.getByteArray("x509-certificate");    if (bytes != null) {    try {            CertificateFactory cf = CertificateFactory.getInstance("X.509");              Certificate ca = cf.generateCertificate(new ByteArrayInputSteam(bytes));              MessageDigest sha256 = MessageDigest.getInstance("SHA-256");            byte[] Key = sha256.digest(((X509Certificate) ca).getEncoded());            return Arrays.equals(key, MySSLCNSHA256);    } catch (Exception Ex) {}    }    return false;    }}

 

原創文章，轉載請註明文章來源 https://www.myssl.cn

Android APP之WebView如何校正SSL認證