Android WebView使用客户端证书

由于我对你的问题也感兴趣，我查阅了WebView和WebViewClient的文档，并进行了搜索，确实看起来你无法使用客户端证书对webview会话进行身份验证，因为所需的方法(ClientCertRequestHandler)不是公共API。

在安卓WebView中使用客户端证书连接到安全服务器

在Android安全讨论中进行搜索确认该调用确实不可用：

https://groups.google.com/forum/#!msg/android-security-discuss/0hzTGaA9swQ/1Oqc8UpGLH8J

尽管

Android 4.0版本确实包括浏览器中对客户端证书的认证支持。

(参考：https://code.google.com/p/android/issues/detail?id=8196)

但没有提及WebViews :(

即使有一些新的API可以加载钥匙串中的证书：

http://developer.android.com/reference/android/security/KeyChain.html http://nelenkov.blogspot.it/2011/11/using-ics-keychain-api.html

仍然不清楚WebView是否会使用它们...因此，我想你应该尝试KeyChain类，并查看是否可以正确验证（我没有简单的方法来测试这一点，所以你需要自己尝试）。

如果KeyChain不能与WebViews一起工作，那么我想这归结为几个远非完美的解决方法：

解决方案 1:

仍然使用ClientCertRequestHandler（虽然被标记为隐藏，但显然仍可用）：

https://code.google.com/p/android/issues/detail?id=53491

然而，即使您做到了这一点，Android Dev. Team也可能在未经通知的情况下修改/删除该方法，您的应用可能无法在未来的SO版本上工作。

解决方案 2:

如果您可以将目标限制在Android 4.0或更高版本，则一个大胆（且不太可能...）的解决方案是尝试使用文件方案从本地存储加载Webview中的证书：

将本地HTML文件加载到WebView中

但我强烈怀疑Webview将像浏览器那样运行...

解决方案 3:（应该有效，但需要大量努力）

使用HTTPClient或HttpURLConnection在后台处理每个https连接，然后将数据传递给WebView：

http://chariotsolutions.com/blog/post/https-with-client-certificates-on/

您有我的同情。

在 API 21（Android Lollipop）及更高版本中，您可以覆盖 WebViewClient.onReceivedClientCertRequest(WebView view, ClientCertRequest request) 方法。在该方法中，使用您的密钥管理器获取私钥和证书链，并调用 request.proceed()。

如果您只需要在Web视图中忽略ssl证书请求，这对我在Lollipop上有效：
在您的Web视图客户端内，覆盖：

@Override
public void onReceivedSslError(WebView view, SslErrorHandler handler, SslError error) {
    handler.proceed(); // Ignore SSL certificate errors
}

这对于针对qa/dev/stage环境调试webview非常有用。

为了遵守更新的安全策略，以防止应用程序被谷歌商店拒绝，请正确处理SSL证书验证。当服务器呈现的证书符合您的期望时，请更改您的代码以调用SslErrorHandler.proceed()，否则请调用SslErrorHandler.cancel()。
例如，我添加了一个警报对话框，让用户确认后，似乎谷歌不再显示警告。

    @Override
    public void onReceivedSslError(WebView view, final SslErrorHandler handler, SslError error) {
    final AlertDialog.Builder builder = new AlertDialog.Builder(this);
    String message = "SSL Certificate error.";
        switch (error.getPrimaryError()) {
            case SslError.SSL_UNTRUSTED:
                message = "The certificate authority is not trusted.";
                break;
            case SslError.SSL_EXPIRED:
                message = "The certificate has expired.";
                break;
            case SslError.SSL_IDMISMATCH:
                message = "The certificate Hostname mismatch.";
                break;
            case SslError.SSL_NOTYETVALID:
                message = "The certificate is not yet valid.";
                break;
        }
        message += " Do you want to continue anyway?";

        builder.setTitle("SSL Certificate Error");
        builder.setMessage(message);
    builder.setPositiveButton("continue", new DialogInterface.OnClickListener() {
        @Override
        public void onClick(DialogInterface dialog, int which) {
            handler.proceed();
        }
    });
    builder.setNegativeButton("cancel", new DialogInterface.OnClickListener() {
        @Override
        public void onClick(DialogInterface dialog, int which) {
            handler.cancel();
        }
    });
    final AlertDialog dialog = builder.create();
    dialog.show();
}

经过这些更改后，它将不会显示警告。

基于Chronium的Android 4.4 WebView引入了一个bug：当服务器请求客户端证书时，WebView会停止加载过程。虽然onPageFinished方法会立即被调用，但没有页面显示。

--> https://code.google.com/p/android/issues/detail?id=62533

我们无法在Webview中访问客户端证书，已经有一个相关的谷歌问题提出。 https://code.google.com/p/android/issues/detail?id=53491

自API 21以来，已将onReceivedClientCertRequest()添加到WebViewClient中。 https://developer.android.com/reference/android/webkit/WebViewClient#onReceivedClientCertRequest(android.webkit.WebView,%20android.webkit.ClientCertRequest)

以下Stackoverflow帖子中的解决方案对我有效： Android WebView处理 onReceivedClientCertRequest

进行测试：

• 服务器URL：https://client.badssl.com/
• 客户端证书：https://badssl.com/download/

当未设置客户端证书时，将显示“400 bad request”。

自签名SSL证书对我有效

请查看此答案https://dev59.com/SW025IYBdhLWcg3weWAs#49003522