在Android开发中，WebView是用于展示网页内容的常用组件。为了保证用户数据的安全性，尤其是在使用HTTPS协议时，对SSL证书进行校验是至关重要的。本文将详细介绍如何在Android WebView中校验SSL证书，并提供代码示例。

一、为什么需要校验SSL证书？

1. 防止中间人攻击：未校验SSL证书可能导致攻击者伪造证书，窃取用户数据。

2. 确保通信安全：校验证书可以确保客户端与服务器之间的通信是加密且可信的。

3. 提升用户信任：通过严格的证书校验，用户可以放心使用应用，避免隐私泄露。

二、WebView中SSL证书校验的实现

Android提供了 WebViewClient 类，通过重写其 onReceivedSslError 方法，可以自定义SSL证书的校验逻辑。以下是具体实现步骤：

1. 创建自定义WebViewClient

创建一个自定义的 WebViewClient 类，并重写 onReceivedSslError 方法。

   import android.net.http.SslError;
   import android.webkit.SslErrorHandler;
   import android.webkit.WebView;
   import android.webkit.WebViewClient;

   public class CustomWebViewClient extends WebViewClient {

       @Override
       public void onReceivedSslError(WebView view, SslErrorHandler handler, SslError error) {
           // 自定义SSL证书校验逻辑
           if (isCertificateValid(error)) {
               // 证书有效，继续加载页面
               handler.proceed();
           } else {
               // 证书无效，取消加载
               handler.cancel();
           }
       }

       private boolean isCertificateValid(SslError error) {
           // 实现证书校验逻辑
           // 例如：检查证书是否由受信任的CA颁发，域名是否匹配等
           return true; // 示例代码，实际需根据需求实现
       }
   }

2. 设置自定义WebViewClient

在Activity或Fragment中，将自定义的 WebViewClient 设置给WebView。

   import android.os.Bundle;
   import android.webkit.WebView;
   import androidx.appcompat.app.AppCompatActivity;

   public class MainActivity extends AppCompatActivity {

       @Override
       protected void onCreate(Bundle savedInstanceState) {
           super.onCreate(savedInstanceState);
           setContentView(R.layout.activity_main);

           WebView webView = findViewById(R.id.webview);
           webView.setWebViewClient(new CustomWebViewClient());

           // 加载HTTPS页面
           webView.loadUrl("https://your-secure-website.com");
       }
   }

3. 实现证书校验逻辑

在 isCertificateValid 方法中，可以根据实际需求实现证书校验逻辑。例如：

• 检查证书是否由受信任的CA颁发。
• 检查证书的域名是否与请求的域名匹配。
• 检查证书是否在有效期内。

示例代码：

   private boolean isCertificateValid(SslError error) {
       // 获取证书
       SslCertificate certificate = error.getCertificate();

       // 检查证书是否在有效期内
       Date notAfter = certificate.getValidNotAfterDate();
       Date notBefore = certificate.getValidNotBeforeDate();
       Date currentDate = new Date();
       if (currentDate.before(notBefore) || currentDate.after(notAfter)) {
           return false; // 证书已过期或未生效
       }

       // 检查域名是否匹配
       String requestedDomain = error.getUrl();
       String certificateDomain = certificate.getIssuedTo().getCName();
       if (!requestedDomain.contains(certificateDomain)) {
           return false; // 域名不匹配
       }

       // 其他自定义校验逻辑
       return true;
   }

三、处理SSL证书错误

如果SSL证书校验失败，可以根据业务需求采取以下措施：

1. 取消加载：调用 handler.cancel() ，停止加载页面并提示用户。

2. 继续加载：调用 handler.proceed() ，但需谨慎使用，仅在测试环境或明确信任证书时使用。

3. 提示用户：通过弹窗或Toast提示用户证书错误，并提供解决方案。

示例代码：

@Override
public void onReceivedSslError(WebView view, SslErrorHandler handler, SslError error) {
    new AlertDialog.Builder(view.getContext())
        .setTitle("SSL证书错误")
        .setMessage("检测到SSL证书错误，是否继续？")
        .setPositiveButton("继续", (dialog, which) -> handler.proceed())
        .setNegativeButton("取消", (dialog, which) -> handler.cancel())
        .create()
        .show();
}

四、注意事项

1. 生产环境严格校验：在生产环境中，务必严格校验SSL证书，避免使用 handler.proceed() 忽略错误。

2. 测试环境灵活处理：在测试环境中，可以临时忽略证书错误，方便调试。

3. 更新受信任的CA列表：确保设备上的受信任CA列表是最新的，避免因CA过期导致校验失败。

4. 兼容性：不同Android版本对SSL证书的处理可能有所不同，需进行充分测试。

通过在WebView中实现SSL证书校验，可以有效提升应用的安全性，防止中间人攻击和数据泄露。开发者应根据实际需求，结合证书有效期、域名匹配等逻辑，实现严格的证书校验机制。同时，在处理证书错误时，需权衡用户体验和安全性，确保应用的稳定性和可靠性。

Dogssl.com拥有20年网络安全服务经验，提供构涵盖国际CA机构Sectigo、Digicert、GeoTrust、GlobalSign，以及国内CA机构CFCA、沃通、vTrus、上海CA等数十个SSL证书品牌。全程技术支持及免费部署服务，如您有SSL证书需求，欢迎联系!