3月1日之后,当我将应用程序上传到Beta组时,我从Google引用的特定邮件中得到了:
此信息旨在使用HostNameVerifier界面的不安全实现为使用应用程序的开发人员提供,该界面在建立HTTPS连接到使用SETDEFAULTHOSTNAMEVERIFIER API
的HTTPS连接时接受所有主机名。
在网上搜索后,我找到了一些链接,但是大多数情况下,他们建议使用第三方库,但是在我的整个应用程序中,我已经完成了简单的HTTPS请求RESTCALLS。我用于休息调用的代码是:
TrustManager[] trustAllCerts = new TrustManager[] {
new X509TrustManager() {
public java.security.cert.X509Certificate[] getAcceptedIssuers() {
return null;
}
public void checkClientTrusted(X509Certificate[] certs, String authType) {}
public void checkServerTrusted(X509Certificate[] certs, String authType) {}
}
};
// Install the all-trusting trust manager
SSLContext sc = SSLContext.getInstance("SSL");
sc.init(null, trustAllCerts, new java.security.SecureRandom());
HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());
// Create all-trusting host name verifier
HostnameVerifier hostnameVerifier = new HostnameVerifier() {
@Override
public boolean verify(String hostname, SSLSession session) {
HostnameVerifier hv =
HttpsURLConnection.getDefaultHostnameVerifier();
return hv.verify("something.com", session);
}
};
URL url = new URL("Something");
urlConnection = (HttpsURLConnection) url.openConnection();
urlConnection.setHostnameVerifier(hostnameVerifier);
任何人都可以知道可以从Google的警告中恢复哪种类型的代码。但是我不想使用凌空图书馆。
我认为您正在通过URL检索或将数据发布到服务器。如果您希望使用相同方法(信任管理器)解决问题的答案,请点击以下链接: - TrustManagerVulnobilationSolution(或者)我使用另一种方法来克服这个问题。如果您想尝试替代方法,请按照以下步骤: -
-
通过网络浏览器下载URL的SSL证书。
-
在目录中创建一个network_security_config.xml->res/xml/network_security_config.xml
-
将这些代码添加到XML文件: -
<network-security-config> <domain-config> <domain includeSubdomains="true">example.com</domain> <trust-anchors> <certificates src="@raw/my_ca"/> </trust-anchors> </domain-config> </network-security-config>` -
将您下载的SSL证书放在目录中的名称为" my_ca"中 - &gt;res/raw/'my_ca'
-
将其添加到您的清单中:-
<application android:networkSecurityConfig="@xml/network_security_config"> -
就是这样。有关更多详细信息,请参考: - NetworkSecurityConfiguration