我遇到了一些进退两难的情况。我正在编写一个客户端/服务器应用程序。前端是Flutter,使用Dio http包,后端是Java。后端 REST API 通过 TLS 证书进行保护。
正如许多其他问题所指出的,Flutter 似乎无法访问所有平台上的系统 CA 证书存储。这是有问题的,因为我打算允许服务器应用程序的自托管,这意味着来自所有不同 CA 的证书都可以在服务器端使用,因此我的 HTTP 客户端将需要支持典型 Web 浏览器支持的所有 CA。
Dio 显然允许您设置可信的证书链,但我想知道如何最好地利用它。
有人遇到过这个问题吗?您采取了什么解决方案来解决这个问题?
这些是我到目前为止想到的解决方案:
我来这里的另一个问题是 Dio 似乎忽略了我的 onBadCertificate 方法。我在 ConnectionManager 中声明了这一点,我不应该这样做吗?
这是被忽略的代码:
var dio = Dio()
..options.baseUrl = server
..interceptors.add(LogInterceptor())
..interceptors.add(CookieManager(cookieJar))
..httpClientAdapter = Http2Adapter(
ConnectionManager(
idleTimeout: 10000,
// Ignore bad certificate
onClientCreate: (_, config) => {
//config.context?.setTrustedCertificatesBytes(File("/assets/certs/wildcard.pem").readAsBytesSync()),
config.onBadCertificate = (_) => true, // <-- ignored, should bypass check
}
),
);
编辑:
正如评论中提到的,Flutter 实际上能够使用系统 CA 证书存储。当我测试其他平台时,如果遇到任何证书问题,我会进行更新。不过这个已经解决了!
我也有同样的问题,因为在某些旧型号的手机上,用户会看到证书错误。所以,我找到了这个解决方案:
_dio = Dio(_baseOptions);
//check bad certificate
(_dio!.httpClientAdapter as DefaultHttpClientAdapter).onHttpClientCreate = (HttpClient client) {
client.badCertificateCallback = (X509Certificate cert, String host, int port) => true;
return client;
};
https://github.com/flutterchina/dio/issues/32#issuecomment-487401443
最终的核心问题是服务器没有提供完整的证书链,而只提供了叶证书。如果浏览器在其他地方看到中间证书,某些浏览器会隐藏此类问题。因此,仅仅因为浏览器中的操作正常,并不意味着服务器实际上为其他 TLS 客户端提供了足够的信息来验证证书链。
因此,解决方案是配置服务器以提供完整的证书链。
截至 2024 年 3 月:
~~
onHttpClientCreate
~~ 回调已弃用。现在您应该使用 createHttpClient
并返回您自己的 HttpClient
实例:
Dio createDio({required String baseUrl, bool trustSelfSigned = false}) {
// initialize dio
final dio = Dio()
..options.baseUrl = baseUrl;
// allow self-signed certificate
(dio.httpClientAdapter as IOHttpClientAdapter).createHttpClient = () {
final client = HttpClient();
client.badCertificateCallback = (cert, host, port) => trustSelfSigned;
return client;
};
return dio;
}