0

您好,我的应用程序是实时的,它使用“https”协议。Google Play 团队发出如下警告。

“本电子邮件末尾列出的您的应用程序使用 X509TrustManager 接口的不安全实现。具体而言,该实现在与远程主机建立 HTTPS 连接时忽略所有 SSL 证书验证错误,从而使您的应用程序容易受到人为攻击 -中间攻击。攻击者可以读取传输的数据(例如登录凭据),甚至更改通过 HTTPS 连接传输的数据。如果您的帐户中有超过 20 个受影响的应用程序,请查看开发者控制台以获取完整信息列表。

要正确处理 SSL 证书验证,请更改自定义 X509TrustManager 接口的 checkServerTrusted 方法中的代码,以在服务器提供的证书不符合您的期望时引发 CertificateException 或 IllegalArgumentException。Google Play 将阻止发布任何包含 X509TrustManager 接口的不安全实现的新应用或更新。”

在我的项目中,我使用自定义 http 客户端来处理 HTTPS,而不是默认的 httpClient。我的代码如下。

    public static HttpClient getNewHttpClient() {
            try
            {
                KeyStore trustStore = KeyStore.getInstance(KeyStore.getDefaultType());
                trustStore.load(null, null);

                MySSLSocketFactory sf = new MySSLSocketFactory(trustStore);
                sf.setHostnameVerifier(SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);

                HttpParams params = new BasicHttpParams();
                HttpProtocolParams.setVersion(params, HttpVersion.HTTP_1_1);
                HttpProtocolParams.setContentCharset(params, HTTP.UTF_8);

                SchemeRegistry registry = new SchemeRegistry();
                registry.register(new Scheme("http", PlainSocketFactory.getSocketFactory(), 80));
                registry.register(new Scheme("https", sf, 443));

                ClientConnectionManager ccm = new ThreadSafeClientConnManager(params, registry);

                return new DefaultHttpClient(ccm, params);
            }
            catch (Exception e)
            {
                return new DefaultHttpClient();
            }
        }

public static class MySSLSocketFactory extends SSLSocketFactory {
        SSLContext sslContext = SSLContext.getInstance("TLS");

        public MySSLSocketFactory(KeyStore truststore) throws NoSuchAlgorithmException, KeyManagementException, KeyStoreException, UnrecoverableKeyException {
            super(truststore);

            TrustManager tm = new X509TrustManager() {
                public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {
                }

                public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
                }

                public X509Certificate[] getAcceptedIssuers() {
                    return null;
                }
            };

            sslContext.init(null, new TrustManager[] { tm }, null);
        }

        @Override
        public Socket createSocket(Socket socket, String host, int port, boolean autoClose) throws IOException, UnknownHostException {
            return sslContext.getSocketFactory().createSocket(socket, host, port, autoClose);
        }

        @Override
        public Socket createSocket() throws IOException {
            return sslContext.getSocketFactory().createSocket();
        }
    }

如何克服这个问题?希望得到有利的答案。

4

2 回答 2

3

既然您已经发布了相关代码,那么您很难看出引用消息的哪一部分您不理解。

解决方法是完全删除部分TrustManager代码,根和分支,并使用默认的,然后以适当的方式处理可能出现的任何问题,通过调整信任库的内容也信任所有您需要信任的证书,默认情况下尚未信任。如果有,不应该有。

于 2016-03-07T05:16:58.540 回答
0

为什么需要自定义 SSLSocketFactory。您可以使用DefaultHttpClient默认情况下将处理所有 https。仅供参考,HttpClient已弃用并使用 HttpURLConnection.

于 2016-03-07T05:23:43.260 回答