1

我需要一些帮助,

我试图在我的 react-native 应用程序(v0.63)上实现 SSLPinning。

我已经关注 OkHttp github 页面上的文档了

这是我为我的应用程序制作的代码:

public class CustomClientFactory implements OkHttpClientFactory {

@Override
  public OkHttpClient createNewNetworkModuleClient() {
    CertificatePinner certificatePinner = new CertificatePinner.Builder()
      .add(BuildConfig.HOSTNAME, BuildConfig.SHA_PUBLIC_KEY_1)
      .add(BuildConfig.HOSTNAME, BuildConfig.SHA_PUBLIC_KEY_2)
      .add(BuildConfig.HOSTNAME, BuildConfig.SHA_PUBLIC_KEY_3)
      .build();

    OkHttpClient.Builder client = new OkHttpClient.Builder()
      .connectTimeout(0, TimeUnit.MILLISECONDS)
      .readTimeout(0, TimeUnit.MILLISECONDS)
      .writeTimeout(0, TimeUnit.MILLISECONDS)
      .cookieJar(new ReactCookieJarContainer())
      .certificatePinner(certificatePinner);

    OkHttpClient newClient = OkHttpClientProvider.enableTls12OnPreLollipop(client).build();

    return newClient;
  }
}

OkHttpCertPin:

public class OkHttpCertPin {
    public static void rebuildOkHttpForSslPinning() {
        OkHttpClientProvider.setOkHttpClientFactory(new CustomClientFactory());
    }
}

这是我在 MainActivity 上的 onCreate 方法:

  @Override
  protected void onCreate(Bundle savedInstanceState) {
    super.onCreate(savedInstanceState);
    OkHttpCertPin.rebuildOkHttpForSslPinning();
  }

它允许所有请求通过,即使我使用随机公钥和主机名。

我做错了什么?

我从 sslLabs 获得的所有公钥

4

1 回答 1

1

CertificatePinner 只会限制主机 BuildConfig.HOSTNAME 的流量,所有其他主机都会被允许通过。这就是您的 CertificatePinner 没有阻止任何内容的原因。

您可以创建自定义网络拦截器来拒绝所有其他流量。见https://square.github.io/okhttp/interceptors/

注意,将来您可以实现一个 EventListener 并打印出您要连接的主机以及证书链中的 pin 以帮助调试它。

https://stackoverflow.com/a/66398516/1542667

于 2021-03-02T19:25:08.687 回答