Android应用程序执行身份验证和授权的主机有3个。最终宿主是 REST API。第一次使用 Oauth 身份验证和授权过程,它可以正常工作。
但是,如果用户在登录并访问REST API提供的服务后杀死应用程序,然后再次打开应用程序,就会出现此问题。 此时,身份验证和授权过程没有发生,只有 REST API。 它导致
java.security.cert.CertPathValidatorException有人可以解释一下这个异常背后的场景以及应用程序出了什么问题吗?如果根据 this SO 答案忽略认证异常,则此方法有效。
SSLSocketFactory sslSocketFactory = null;
try {
TrustManagerFactory tmf = TrustManagerFactory.getInstance(
TrustManagerFactory.getDefaultAlgorithm());
// Initialise the TMF as you normally would, for example:
try {
tmf.init((KeyStore)null);
} catch(KeyStoreException e) {
e.printStackTrace();
}
TrustManager[] trustManagers = tmf.getTrustManagers();
final X509TrustManager origTrustmanager = (X509TrustManager)trustManagers[0];
// Create a trust manager that does not validate certificate chains
TrustManager[] wrappedTrustManagers = new TrustManager[]{
new X509TrustManager() {
public java.security.cert.X509Certificate[] getAcceptedIssuers() {
return origTrustmanager.getAcceptedIssuers();
}
public void checkClientTrusted(X509Certificate[] certs, String authType) {
try {
origTrustmanager.checkClientTrusted(certs, authType);
} catch(CertificateException e) {
e.printStackTrace();
}
}
public void checkServerTrusted(X509Certificate[] certs, String authType) {
try {
origTrustmanager.checkServerTrusted(certs, authType);
} catch(CertificateException e) {
e.printStackTrace();
}
}
}
};
//TrustManager[] trustAllCerts = TrustManagerFactory.getInstance("SSL").getTrustManagers();
// Install the all-trusting trust manager
final SSLContext sslContext = SSLContext.getInstance("TLS");
sslContext.init(null, wrappedTrustManagers, new java.security.SecureRandom());
// Create an ssl socket factory with our all-trusting manager
sslSocketFactory = sslContext.getSocketFactory();
} catch (NoSuchAlgorithmException | KeyManagementException e) {
e.printStackTrace();
}
return sslSocketFactory;
我使用 Okhttp 3 来处理 http 请求。任何建议都将有助于解决问题。如果我使用上面的代码片段,请告诉我,这是否违反安全规定?会影响应用程序的安全吗?
我回答这个问题是为了根据 Android 开发者网站提供有关场景和解决方案的想法,以使其他人受益。我已经使用自定义信任管理器解决了这个问题。
问题出在服务器证书上,它缺少中间证书颁发机构。然而,第一个流证书路径以某种方式完成,结果是成功的证书路径验证。
在 android 开发者网站 中有一个解决方案。建议使用信任此服务器证书的自定义信任管理器,或者建议服务器在服务器链中包含中间 CA。
自定义信任管理器。来源:https://developer.android.com/training/articles/security-ssl.html#UnknownCa
// Load CAs from an InputStream
// (could be from a resource or ByteArrayInputStream or ...)
CertificateFactory cf = CertificateFactory.getInstance("X.509");
// From https://www.washington.edu/itconnect/security/ca/load-der.crt
InputStream caInput = new BufferedInputStream(new FileInputStream("load-der.crt"));
Certificate ca;
try {
ca = cf.generateCertificate(caInput);
System.out.println("ca=" + ((X509Certificate) ca).getSubjectDN());
} finally {
caInput.close();
}
// Create a KeyStore containing our trusted CAs
String keyStoreType = KeyStore.getDefaultType();
KeyStore keyStore = KeyStore.getInstance(keyStoreType);
keyStore.load(null, null);
keyStore.setCertificateEntry("ca", ca);
// Create a TrustManager that trusts the CAs in our KeyStore
String tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm();
TrustManagerFactory tmf = TrustManagerFactory.getInstance(tmfAlgorithm);
tmf.init(keyStore);
// Create an SSLContext that uses our TrustManager
SSLContext context = SSLContext.getInstance("TLS");
context.init(null, tmf.getTrustManagers(), null);
// Tell the okhttp to use a SocketFactory from our SSLContext
OkHttpClient okHttpClient client = new OkHttpClient.Builder().sslSocketFactory(context.getSocketFactory()).build();
更新: 将中间证书颁发机构从服务器端添加到证书链后,我的问题得到了解决。这是最好的解决方案,将证书与应用程序捆绑在一起需要在证书过期或与证书管理相关的任何其他问题时更新应用程序。
更新:03/09/2017 我发现加载证书文件的最简单方法是使用原始资源。
InputStream caInput = new BufferedInputStream(context
.getResources().openRawResource(R.raw.certfilename));
其中 certfilename 是放置在 resources/raw 文件夹中的证书文件。另外 okhttp 的
sslSocketFactory(SSLSocketFactory sslSocketFactory)此外,从服务器获取证书时最好使用 openssl。
openssl s_client -connect {server-address}:{port} -showcerts
因为我曾经从 Firefox 中抓取它,并面临着它被病毒防护程序更改的情况。
将您的
cert.pem创建一个方法
private SSLSocketFactory getSSLSocketFactory(){
try {
CertificateFactory cf;
cf = CertificateFactory.getInstance("X.509");
Certificate ca;
InputStream cert = context.getResources().openRawResource(R.raw.cert);
ca = cf.generateCertificate(cert);
cert.close();
String keyStoreType = KeyStore.getDefaultType();
KeyStore keyStore = KeyStore.getInstance(keyStoreType);
keyStore.load(null, null);
keyStore.setCertificateEntry("ca", ca);
String tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm();
TrustManagerFactory tmf = TrustManagerFactory.getInstance(tmfAlgorithm);
tmf.init(keyStore);
SSLContext sslContext = SSLContext.getInstance("TLS");
sslContext.init(null, tmf.getTrustManagers(), null);
return sslContext.getSocketFactory();
}
catch (Exception e){
return null;
}
}
这样打电话
final OkHttpClient client = new OkHttpClient();
//pass getSSLSocketFactory() in params
client.setSslSocketFactory(getSSLSocketFactory());
String appURl = context.getString(R.string.apis_app_url);
final RestAdapter restAdapter = new RestAdapter.Builder()
.setEndpoint(appURl).setClient(new OkClient(client)).
build();
我的情况的答案是缺少 ssl 证书文件的一部分(我的服务器上有几个文件),解决方案是将它们全部复制并粘贴到 1 个文件中,并在 nginx 配置文件上给出该新文件的路径
就我而言,原因是在 Android 模拟器上使用代理服务器(我使用 Charles)。 我刚刚将服务器添加到“绕过代理”部分(在模拟器上的 WiFi 设置中)。服务器地址可以在 Charles 找到。 或者你可以直接禁用代理。