Delphi XE10.x实现Android下Https双向认证

最新推荐文章于 2024-05-31 16:14:20 发布
最新推荐文章于 2024-05-31 16:14:20 发布
阅读量1.1k 收藏 3
点赞数
分类专栏: Delphi Other 文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sonadorje/article/details/118894182
版权
这篇博客介绍了如何在Android应用中避免用户安装客户端证书,而是通过代码加载.pfx证书进行HTTPS请求。文章详细阐述了修改系统源码,创建自定义的TrustManager和KeyManager,以及加载和验证证书的步骤,涉及到SecureBlackBox控件的使用,但同时也提到了可以使用BouncyCastle替代。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

我有一个https云服务器,在手机端的app发出请求后,获得服务端返回的内容,服务端存放了自制ca以及sever证书。

const https = require('https');
var fs = require('fs');
var options = {
	key: fs.readFileSync("./myserver.key"),
    cert: fs.readFileSync('./myserver.crt'),
	ca: fs.readFileSync('./MyCARoot.crt'), 
    requestCert: true,
	rejectUnauthorized:true

};

这样的配置,就需要手机端安装client证书

但我并不想让使用者都来安装client证书,这样就把私钥泄漏出去了,能不能把*.pfx证书打包,然后以代码去加载证书呢?可以的,下面是实现的步骤:

1、在\Embarcadero\Studio\21.0\source\rtl\net下找到System.Net.HttpClient.Android.pas文件 ,复制一份到你的工程文件夹下,然后重命名。

2、把implementation下的所有类定义,移动到interface下

TAndroidHTTPRequest = class;
  TAliasCallback = class(TJavaLocal, JKeyChainAliasCallback)
  protected
    [Weak] FRequest: TAndroidHTTPRequest;
  public
    procedure alias(alias: JString); cdecl;
    constructor Create(const ARequest: TAndroidHTTPRequest);
  end;

  TJHostnameVerifier = class(TJavaLocal, JHostnameVerifier)
  public
    function verify(hostname: JString; session: JSSLSession): Boolean; cdecl;
  end;

3、找到TAndroidHTTPClient = class(THTTPClient),增加两个私有成员

private
    FMyTrustManagerFactory : JTrustManagerFactory;
    FMyKeyManagerFactory: JKeyManagerFactory;

 再添加两个procedure

procedure TAndroidHTTPClient.SetTrustManagerFactory(const ATmf: JTrustManagerFactory);
begin
   FMyTrustManagerFactory := ATmf;
end;

procedure TAndroidHTTPClient.setKeyManagerFactory(const AKMF: JKeyManagerFactory);
begin
   FMyKeyManagerFactory := AKMF;
end;

同样的,找到TAndroidHTTPRequest = class(THTTPRequest),增加这两个私有成员

4、找到procedure TAndroidHTTPRequest.DoPrepare,做修改,替换原来的处理方式

// TrustManager
    //LJTrustManagers := FMyTrustManagerFactory.getTrustManagers;
    LJOldTrustManager := TJX509TrustManager.Wrap(FMyTrustManagerFactory.getTrustManagers[0]); // Get Current Trust Manager.
    FJTrustManager := TX509TrustManager.Create(LJOldTrustManager, Self);
    LJTrustManagers := TJavaObjectArray<JTrustManager>.Create(1);
    LJTrustManagers.Items[0] := TJTrustManager.Wrap(FJTrustManager);
    LJCerts := FJTrustManager.getAcceptedIssuers;

    FJTrustManager.checkClientTrusted(LJCerts, StringToJString('RSA'));
    FJTrustManager.checkServerTrusted(LJCerts, StringToJString('RSA'));

    // KeyManager
    LJOldKeyManager := TJX509KeyManager.Wrap(FMyKeyManagerFactory.getKeyManagers[0]); // Get Current Key Manager.
    FJKeyManager := TX509KeyManager.Create(LJOldKeyManager, Self);
    LJKeyManagers := TJavaObjectArray<JKeyManager>.Create(1);
    LJKeyManagers.Items[0] := TJKeyManager.Wrap(FJKeyManager);

5、找到function TAndroidHTTPClient.DoGetHTTPRequestInstance,把两个前面定义的私有成员传递给Request

function TAndroidHTTPClient.DoGetHTTPRequestInstance(const AClient: THTTPClient; const ARequestMethod: string;
  const AURI: TURI): IHTTPRequest;
begin
  Result := TAndroidHTTPRequest.Create(TAndroidHTTPClient(AClient), ARequestMethod, AURI);

  //把两个工厂实例传递给创建的HttpRequest
  (Result  as TAndroidHTTPRequest).setTrustManagerFactory(FMyTrustManagerFactory);
  (Result  as TAndroidHTTPRequest).setKeyManagerFactory(FMyKeyManagerFactory);
end;

 6、找到procedure TX509TrustManager.checkServerTrusted,做修改

// 检查是否是权威CA,对于自制证书,无法通过
    //FJOrigOldTrustManager.checkServerTrusted(chain, authType);
    if not isServerTrusted(FRequest.FServerCertificate) then
       raise ECertificateException.Create('无效服务端证书!');

把原生的checkServerTrusted(chain, authType);注释掉,以自定义的函数isServerTrusted

替换,这个函数很简单,判断CA证书和Server证书的序列号

function TX509TrustManager.isServerTrusted(const ADCert: TCertificate):boolean;
begin
    //only check SN
   if (UpperCase(ADCert.SerialNum) = '1AFE100A09D8E894') or
      (UpperCase(ADCert.SerialNum) = '40F2768CE4B83190') then
      Result := True
   else
      Result := False;
end;

7、下面看看这两个工厂实例是如何初始化的

 

fname := System.IOUtils.TPath.GetDocumentsPath + PathDelim + 'myclient.pfx';
   F := TFileStream.Create(fname, fmOpenRead);
    try
      R := X509Cert.LoadFromStreamPFX(F, 'XF@dM1n');
      if R = 0 then
      begin
        ms := TMemoryStream.Create;
        if X509Cert.PrivateKeyExists  then
        begin
           X509Cert.SaveKeyToStreamPEM(ms, 'password');
           fname := System.IOUtils.TPath.GetSharedDocumentsPath + PathDelim + 'mykey.pem';
           ms.SaveToFile(fname);
           KeyManager.ImportFromFile(fname, 3, 'RSA', '', '', 2);
           vKey := KeyManager.Key.Key;
           vSize := Length(vKey);

        end;

      end
      else
        raise ECertificateException.Create('Failed to load certificate, PFX error ' + IntToHex(R, 4));
    finally
      F.Free;
      ms.Free;
    end;

   SetLength(vBytes, X509Cert.CertificateSize);
   Move(X509Cert.CertificateBinary^, vBytes[0], X509Cert.CertificateSize);
   LJArray := TJavaArray<Byte>.Create(Length(vBytes));
   Move(vBytes[0], LJArray.Data^, Length(vBytes));

   LJStream := TJByteArrayInputStream.JavaClass.init(LJArray);
   LJArray.Free;

  LJClientCert := TJCertificateFactory.JavaClass.getInstance(StringToJString('X.509')).generateCertificate(LJStream);
  LJCertChain := TJavaObjectArray<JCertificate>.create(1);
  LJCertChain.Items[0] := LJClientCert;
   LJArray := TJavaArray<Byte>.Create(vSize);
   move(vKey[0], LJArray.Data^, vSize);

   LJkeySpec := TJPKCS8EncodedKeySpec.JavaClass.Init(LJArray);
   LJKeyFactory := TJKeyFactory.JavaClass.getInstance(StringToJString('RSA'));
   LJKey := TJRSAPrivateKey.Wrap(LJkeyFactory.generatePrivate(TJKeySpec.Wrap(LJkeySpec)));


  // 實例化密鑰庫
   LJAlgorithm := TJKeyManagerFactory.JavaClass.getDefaultAlgorithm;
   s := JStringToString(LJAlgorithm);
   kmf := TJKeyManagerFactory.JavaClass.getInstance(LJAlgorithm);
   // 獲得密鑰庫
   key_store_type := TJKeyStore.JavaClass.getDefaultType;
   s := JStringToString(key_store_type);
   LJKS_PK := TJKeyStore.JavaClass.getInstance(StringToJString('AndroidKeyStore'));
   //只能是此方式,源码显示不接收非空参数
   LJKS_PK.load(nil, nil);
   LJKS_PK.setKeyEntry(StringToJString('mykey'), TJKey.Wrap(LJKey), nil, LJCertChain);
   kmf.init(LJKS_PK, StringToJString('XF@dM1n').toCharArray);

  //证书管理工厂
  LJKS_Cert := TJKeyStore.JavaClass.getInstance(StringToJString('AndroidKeyStore'));
  LJKS_Cert.load(nil, nil);
  //key_Store.setCertificateEntry(StringToJString('ca'), ca);
  LJKS_Cert.setCertificateEntry(StringToJString('LJClientCert'), LJClientCert);

  LJAlgorithm := TJTrustManagerFactory.JavaClass.getDefaultAlgorithm;
  s := JStringToString(LJAlgorithm); //#BKS
  tmf := TJTrustManagerFactory.JavaClass.getInstance(LJAlgorithm);
  tmf.init(LJKS_Cert);

  //设置自己的两个工厂
  FClient.SetTrustManagerFactory(tmf);
  FClient.setKeyManagerFactory(kmf);

 这里面用到SecureBlackBox的两个商业控件:KeyManager: TsbxCryptoKeyManager;
    X509Cert: TElX509Certificate;这套控件是跨平台的,很贵,但很方便。也可以用免费的Bouncy Castle来替换,但要对导出的JNI做大量修改,很费神,还要导出一些大D没提供的JNI。

 

 

idy线程池的用法
zxm8513优快云博客
07-14 473
procedure TfmxMain.FormCreate(Sender: TObject); var LIOHandleSSL: TIdServerIOHandlerSSLOpenSSL; LScheduler_SessionsThreadPool :TIdSchedulerOfThreadPool; begin //1.产生Indy桥接服务器(即:Indy服务器的Http(s)协议的Web代理的连接器) //:TIdHTTPWebBrokerBridge的实例FServer: .
delphi android 串口通信,Delphi 7:操作串口(ComPort)
weixin_34723479的博客
05-27 1591
一、串口的简介串行接口(Serial Interface),简称串口,即COM接口(cluster communication port,串行通讯端口),是采用串行通讯方式的扩展接口。一条信息的各位数据被逐位按顺序传送的通讯方式称为串行通讯。串口的出现是在1980年前后,初期一般用来连接鼠标和外置Modem以及老式摄像头和写字板等设备,它也可以应用于两台计算机(或设备)之间的互联及数据传输。串口的...
DelphiXE10.3 开发 android 安卓 app 访问 https 服务端
又过一年
05-24 4070
Play Store 已经发布通知了,将在 2019年8月份的新APP必须使用https通讯方式才能上架市场。 现分享我在DelphiXE开发的安卓APP添加HTTPS通讯方式的实现方式 版本 DelphiXE10.3 + Indy10.6.2.5366 + openssl 步骤: 1、建立多媒体应用,设置项目 Target Platforms 为 AndroidAndroid SDK...
delphi_xe7_idhttp10——win7_64位下访问https用到的dll
12-07
delphi_xe7_idhttp10——win7_64位下访问https用到的dll libeay32.dll ssleay32.dll MSVCP100.DLL MSVCR100.DLL
delphi调用https接口
weixin_30735391的博客
07-25 925
delphi调用http接口直接使用idhttp就可以了,但是调用https接口的时候就需要和IdSSLIOHandlerSocket1控件一起使用。 截图中是两个控件的具体配置,需要注意的是IdSSLIOHandlerSocket1.Method属性,否则会报错! 其中还会用到libeay32.dll和ssleay32.dll两个dll,可以从网上下载,直接放到项目的根目录下即可!...
Delphi通过https接口post数据
01-10
向web认证服务器通过https接口post认证数据,delphi2005正常使用。最初的的时候采用indy控件,IdHTTP和IdSSLIOHandlerSocketOpenSSL配合,但是没有成功,对方服务器连接后立即断开链接,不返回任何数据,后来通过网上查询,找到了这个方法,可以根据服务器的要求自定义头文件和post的内容。引用了WinINet,IDURI单元,其中CnMD5,CnBase64是认证业务需要加入的cnpack中的单元,和https链接无关。这种方法的另外一个好处是不用再调用indy引用的两个dll文件(libeay32.dll,ssleay32.dll),这两个文件和indy的版本还需要配套,比较麻烦,而且就是匹配了我也没有测试成功,可能和对方服务器的环境有关系,感觉还是后来的这种方式兼容性比较好。
Android实例之利用WebBrowser实现浏览器
09-06
3. **JavaScript交互**:学习如何使用`TWebBrowser`的`InvokeScript`方法来调用网页中的JavaScript函数,实现应用与网页的双向通信。 4. **权限管理**:因为`WebView`需要网络权限,所以要在`AndroidManifest.xml`...
Delphi XE7开发入门教程之DataSnap三层架构篇
06-06
8. **跨平台支持**:由于Delphi XE7的FireMonkey框架,DataSnap创建的应用程序可以轻松地跨多个平台,包括Windows、Mac OS X、iOS和Android。 通过这个入门教程,你将学习如何设置和配置DataSnap服务器,创建客户端...
EmbeddedWb For XE5.rar
06-13
Delphi XE5是一款强大的对象 Pascal 编程工具,由Embarcadero Technologies开发,主要用于Windows、Mac OS X、iOS和Android平台的应用程序开发。它提供了完整的跨平台开发能力,包括VCL(Visual Component Library)...
Delphi XE实现ADB命令与安卓设备通信指南
Delphi XE中的一个重要知识点是如何通过ADB(Android Debug Bridge)来实现与安卓设备的远程连接和交互。 首先,让我们了解ADB。ADB是一个多功能命令行工具,它允许开发者与安卓设备进行通信。它是一个命令行工具,...
delphi2010使用Indy组件实现http/https
03-11
根据delphi2010中的indy组件的TIdHTTP类制作封装了类:THttpModule/THttpsModule,实现了方法get和post。https访问需要的2个动态链接库文件(libeay32.dll、ssleay32.dll)也打在包中了。代码文件已经在delphi2010中测试通过。测试环境为:pwinxp win32 sp3/pwin7 win32 sp1。
Delphi Https-Post
11-17
使用WinINet,IDURI,中的进行HttpsPost,用CNPack中的CnMD5, CnBase64处理
DelphiXE10ssl的idhttp对https的url地址post一个json串Demo
03-30
idHttp带json然后post到某个url已经比较普遍,但是如果是https的post就会不太一样,常用的post会报错或不成功,这时需要用到IdSSLIOHandlerSocketOpenSSL控件,和两个关键dll(libeay32.dll,ssleay32.dll)放到exe同级目录或system32(64位exe放systemWOW64)。 请注意:Delphi XEDelphi2007及以下版本用到的两个dll虽同名但是不一样的! 本程序是XE10下开发,应该适用XE及以上版本!
Delphi7 indy https需要的两个DLL+自己做的调用实例
03-17
Delphi7 indy https需要的两个DLL文件libeay32.dll和ssleay32.dll及自己做的调用实例,实例是我自己做的,在WIN7+DELPHI7下亲测可用!绝对值10
delphi 2010 indy TIdHTTP 访问 https url post get
05-20
解决 https post 会报scoket error #0 问题 上次开发访问https出错了,post 一直出错在网络上找的很,下载了好多个都没有解决问题,后面才找到问题,跟大家分享一下。包含delphi 源码和libeay32.dll ssleay32.dll 两个ssl文件.
delphi XE基于SSLHTTPS服务器应用程序的认证文件(Certificate.cer、CACertificate1.cer、PrivateKey.key及OnGetPassword)的配置
pulledup的博客
04-26 2254
基于SSLHTTPS服务器应用程序的认证文件的配置
delphi 访问https 接口
Listest的博客
11-30 3817
1.代码 function Tfrmmain.UploadData: Boolean; var IdHTTP: TIdHTTP; SSLIO: TIdSSLIOHandlerSocketOpenSSL; begin Result := False; IdHTTP := TIdHTTP.Create(nil); SSLIO := TIdSSLIOHandlerSocketOpenSSL.Create(nil); //https 协议 if Pos('https',FSynco
Delphi访问https接口
chao159357的专栏
04-11 1030
开始使用IdHTTP控件,不是报这样的错误就是那样错误,调试来调试去也没有彻底解决,折腾的无语。换了一个WebData(TMS三方组件中的一个)控件非常好用,简单方便,方法如下: function GetWebInf(URL: string): string; var WebData: TWebData; ResponseStr: string; begin ResponseStr :...
delphi unigui 基于IP自签名证书,支持https访问实现
最新发布
luomu1991的博客
05-31 1193
基于unigui的使用手册,使用openssl生成需要的证书文件 root.pem key.pem cert.pem我使用的openssl version 3.1.3。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值