React Native自定義Android的SSL證書(shū)鏈校驗(yàn)

更新時(shí)間：2022年10月31日 11:31:54 作者：Ludens

這篇文章主要為大家介紹了React Native自定義Android的SSL證書(shū)鏈校驗(yàn)示例詳解，有需要的朋友可以借鑒參考下，希望能夠有所幫助，祝大家多多進(jìn)步，早日升職加薪

前言

雖然這次分享的內(nèi)容解決了本人的實(shí)際開(kāi)發(fā)需求，但由于不是專職的Android開(kāi)發(fā)工程師，涉及到的Android相關(guān)內(nèi)容可能會(huì)存在錯(cuò)誤或者寫(xiě)法不合理，僅供參考，請(qǐng)多多指教。

本文示例基于:

React Native - 0.67.3

Android - 10+

不包括iOS

由于業(yè)務(wù)原因，需要在生產(chǎn)環(huán)境里面使用自簽發(fā)證書(shū)，那自然這個(gè)證書(shū)是無(wú)法通過(guò)Android證書(shū)鏈驗(yàn)證的，為此需要自定義校驗(yàn)規(guī)則。

本文分為兩部分，介紹了對(duì)HTTPS請(qǐng)求和WebSocket的處理，為方便展示，示例里面所采取的是不進(jìn)行任何判斷，直接返回true，相當(dāng)于直接繞過(guò)檢驗(yàn) ，請(qǐng)各位根據(jù)項(xiàng)目自身需求，自定義相關(guān)的校驗(yàn)規(guī)則。

關(guān)于本文中頻繁提到的源碼編譯，這里也有不少心得，目前正在整理中，將在不久之后更新。

HTTPS請(qǐng)求

在搜索引擎上，有一些解決方案是修改React Native源碼里面的/ReactAndroid/src/main/java/com/facebook/react/modules/network/NetworkingModule.java，然后進(jìn)行源碼編譯。

實(shí)際上其實(shí)是不需要進(jìn)行源碼編譯這么麻煩的，在NetworkingModule.java同目錄的OkHttpClientProvider.java中，能看到React Native本身是支持傳入自定義的OkHttpClientFactory去創(chuàng)建NetworkingModule中的Client。

所以只需要以下幾步：

在當(dāng)前React Native項(xiàng)目中實(shí)現(xiàn)一個(gè)的OkHttpClientFactory，用來(lái)自定義證書(shū)鏈校驗(yàn)規(guī)則，文件可以放在MainActivity.java同級(jí)的目錄里面。

// android/app/src/main/java/xxx(具體項(xiàng)目)/IgnoreSSLFactory.java
package xxx; //具體項(xiàng)目
import com.facebook.react.modules.network.OkHttpClientFactory;
import com.facebook.react.modules.network.OkHttpClientProvider;
import com.facebook.react.modules.network.ReactCookieJarContainer;
...
public class IgnoreSSLFactory implements OkHttpClientFactory {
    private static final String TAG = "IgnoreSSLFactory";
    @Override
    public OkHttpClient createNewNetworkModuleClient() {
        try {
            @SuppressLint("CustomX509TrustManager") final TrustManager[] trustAllCerts = new TrustManager[]{
                new X509TrustManager() {
                    @SuppressLint("TrustAllX509TrustManager")
                    @Override
                    public void checkClientTrusted(java.security.cert.X509Certificate[] chain, String authType) throws CertificateException {}
                    @SuppressLint("TrustAllX509TrustManager")
                    @Override
                    public void checkServerTrusted(java.security.cert.X509Certificate[] chain, String authType) throws CertificateException {}
                    @Override
                    public java.security.cert.X509Certificate[] getAcceptedIssuers() {
                        return new java.security.cert.X509Certificate[0];
                    }
                }
            };
            final SSLContext sslContext = SSLContext.getInstance("SSL");
            sslContext.init(null, trustAllCerts, new java.security.SecureRandom());
            final SSLSocketFactory sslSocketFactory = sslContext.getSocketFactory();
            OkHttpClient.Builder builder = new OkHttpClient.Builder()
                        .connectTimeout(0, TimeUnit.MILLISECONDS).readTimeout(0, TimeUnit.MILLISECONDS)
                        .writeTimeout(0, TimeUnit.MILLISECONDS).cookieJar(new ReactCookieJarContainer());
            builder.sslSocketFactory(sslSocketFactory, (X509TrustManager) trustAllCerts[0]);
            builder.hostnameVerifier((hostname, session) -> true); //這里添加自定義相關(guān)的校驗(yàn)規(guī)則
            return builder.build();
        } catch (Exception e) {
            Log.e(TAG, e.getMessage());
            throw new RuntimeException(e);
        }
    }
}
...

在當(dāng)前React Native項(xiàng)目中MainActivity.java里面import上文中提到的OkHttpClientProvider, 在項(xiàng)目onCreate的時(shí)候，通過(guò)OkHttpClientProvider.setOkHttpClientFactory方法傳入上一步中定義的OkHttpClientFactory

// android/app/src/main/java/xxx(具體項(xiàng)目)/MainActivity.java
import com.facebook.react.modules.network.OkHttpClientProvider;
...
public class MainActivity extends ReactActivity {
...
  @Override
  protected void onCreate(Bundle savedInstanceState) {
    ...
    OkHttpClientProvider.setOkHttpClientFactory(new IgnoreSSLFactory()); //增加這行代碼
    ...
  }
...
}

以上就能達(dá)到在React Naitve中自定義HTTPS請(qǐng)求證書(shū)鏈校驗(yàn)的目的。

WebSocket

由于沒(méi)有在相關(guān)代碼中找到類(lèi)似OkHttpClientProvider.java中的 setOkHttpClientFactory方法，所以我選擇了通過(guò)源碼編譯去實(shí)現(xiàn)。思路和上文中提到的處理HTTPS請(qǐng)求類(lèi)似：

修改React Native源碼里面的/ReactAndroid/src/main/java/com/facebook/react/modules/websocket/WebSocketModule.java，定義一個(gè)自定義證書(shū)鏈校驗(yàn)規(guī)則的OkHttpClient.Builder用來(lái)替換原本代碼中的OkHttpClient.Builder，

將原本代碼里面的

替換成

// ReactAndroid/src/main/java/com/facebook/react/modules/websocket/WebSocketModule.java`
...
//定義一個(gè)OkHttpClient
  private OkHttpClient IgnoreSSL() {
    OkHttpClient.Builder builder = null;
    try {
      @SuppressLint("CustomX509TrustManager") final TrustManager[] trustAllCerts = new TrustManager[]{
        new X509TrustManager() {
          @SuppressLint("TrustAllX509TrustManager")
          @Override
          public void checkClientTrusted(java.security.cert.X509Certificate[] chain, String authType) throws CertificateException {
          }
          @SuppressLint("TrustAllX509TrustManager")
          @Override
          public void checkServerTrusted(java.security.cert.X509Certificate[] chain, String authType) throws CertificateException {
          }
          @Override
          public java.security.cert.X509Certificate[] getAcceptedIssuers() {
            return new java.security.cert.X509Certificate[0];
          }
        }
      };
      final SSLContext sslContext = SSLContext.getInstance("SSL");
      sslContext.init(null, trustAllCerts, new java.security.SecureRandom());
      final SSLSocketFactory sslSocketFactory = sslContext.getSocketFactory();
      builder = new OkHttpClient.Builder()
        .connectTimeout(10, TimeUnit.SECONDS)
        .writeTimeout(10, TimeUnit.SECONDS)
        .readTimeout(0, TimeUnit.MINUTES); // Disable timeouts for read
      builder.sslSocketFactory(sslSocketFactory, (X509TrustManager) trustAllCerts[0]);
      builder.hostnameVerifier((hostname, session) -> true);//這里添加自定義相關(guān)的校驗(yàn)規(guī)則
    } catch (Exception e) {
      Log.e(TAG, e.getMessage());
      throw new RuntimeException(e);
    }
    return builder.build();
  }
  @Override
  public void connect(
...
//    OkHttpClient client =
//      new OkHttpClient.Builder()
//        .connectTimeout(10, TimeUnit.SECONDS)
//        .writeTimeout(10, TimeUnit.SECONDS)
//        .readTimeout(0, TimeUnit.MINUTES) // Disable timeouts for read
//        .build();
    OkHttpClient client = IgnoreSSL(); //client替換成上面自定義的OkHttpClient，其余代碼無(wú)需修改
...
}
...