本篇简介:
本篇的小目标:
- 挑战通过Qt WebEngine实现与服务端的Https双向认证
双向认证,Qt WebEngine和Chromium
这里先说结论:挑战失败了。至少使用Qt WebEngine目前已实现的组件没有办法直接实现双向认证。
先来简要分析一下实现双向认证需要做些什么。首先,服务端和客户端——客户端也就是我们的定制浏览器——各自需要向对方提供自己的安全证书,并检查对方所提供的安全证书是否在自己的信任库中。Qt提供了设置这样的安全环境的组件QSslConfiguration,普通的加密通信如果要实现双向认证,可以很方便地使用这个组件完成客户端证书和信任库的设置(具体可以参考我的另一篇文章:QSslSocket双向认证设置)。
然而比较坑的地方是,就目前的5.10版而言,Qt WebEngine并不能直接载入QSslConfiguration里的设置。因为使用了Chromium作为内核,WebEngine在加载页面时走的是Chromium自己的一条网络栈,并没使用Qt的安全环境设置。而Chromium在处理Https请求时,默认是直接读取操作系统中设置的证书作为客户端自己的安全证书,现有版本的WebEngine对此没有进行更改。更坑的地方是,Chromium本身是提供了选择客户端证书的接口的,在使用Chrome浏览器第一次访问需要认证客户端的https页面时,会弹出一个选择客户端证书的框,如下图所示:
certselect.png
而WebEngine似乎会直接略过客户端证书的加载。这个bug已经被提交到了官方,已经有相应的补丁出炉,但是要整合到发布版里可能要等到Qt5.12版本了,具体可参考:WebEngine无法载入客户端证书的bug report。
上面所说的这个bug,直接导致了服务端无法对客户端进行安全认证。因此就现有版本而言,是无法直接通过使用WebEngine来实现https双向认证的。在Qt源码中打上上面链接中的补丁并重新编译Qt的话应该可以一定程度解决这个问题,这里我就不进行进一步的尝试了。
那么反过来,客户端可以认证服务端证书吗?承前所述,因为WebEngine无法直接载入QSslConfiguration里的设置,同时也没有提供查询服务端证书信息的接口,因此客户端也无法直接认证服务端的证书。
迂回路线?
那么,有没有办法绕过上面说的这些坑呢?当然有,那就是不使用WebEngine的load,而使用Qt自己的QNetworkAccessManager访问页面,然后将返回数据通过WebEngineView的各种setter(例如setHtml)控制WebEngine对页面进行加载。这种方式比较繁琐,可能会适用于某些仅访问较为固定页面的系统。但是这和我在这个系列开篇所讲的理念就不是非常相符了,因此在这里就不展开分析了。
不用双向认证的https?
这里再把问题简化一下:如果服务端和客户端不需要进行相互认证,只是希望通信是加密呢?这其实实现起来就和普通的http访问没有太大的区别了。
这里只稍微分析下一种比较常见的情况:服务端的证书不受信任。我们在使用chrome浏览器访问证书不受信任的https网站时,会弹出“您的链接不是私密链接”的提示页面,然后可以通过选择继续前往强制访问。而WebEngine默认的实现则会直接ban掉这次访问,并没有提供强制访问的选项。
好在这次WebEnginePage里提供了certificateError方法可以解决这个问题。只需要实现一个WebEnginePage的子类,并重载certificateError,就可以选择性地忽略一些证书错误。下面的实现里忽略了证书不受信任的错误,供大家参考:
QList<QWebEngineCertificateError::Error> QSslPage::m_allowedError =
QList<QWebEngineCertificateError::Error>()
<< QWebEngineCertificateError::Error::CertificateAuthorityInvalid;
SslPage::SslPage(QObject* parent) : QWebEnginePage(parent)
{
}
bool SslPage::certificateError(const QWebEngineCertificateError& certificateError)
{
if (m_allowedError.contains(certificateError.error()))
{
return true;
}
else
{
qDebug() << "[cert error]" << certificateError.errorDescription();
return QWebEnginePage::certificateError(certificateError);
}
}
其中m_allowedError是静态成员变量。
总结
我最初开始尝试使用WebEngine是差不多两年前,那个时候Qt还是5.6的版本,上面所说的Https的问题自不用说,还存在上篇文章里提到的WebChannel的严重bug。所以最终无奈之下,我放弃了WebEngine而采用了更底层的CEF进行开发。希望在Qt的后续版本里,WebEngine的种种问题能得以改善——毕竟是Qt自家的组件,使用起来还是更便利一些的。
写到这里,我个人有关WebEngine的整理也进行的差不多了。下一篇开始介绍Qt整合CEF实现定制化浏览器的方案。
参考链接
[1] WebEngine无法载入客户端证书的bug report
[2] QSslSocket双向认证设置
[3] Chromium官方证书管理教程(基于nss)
[4] 如何用Tomcat和Openssl构建HTTPS双向认证环境(HTTPS客户端认证)
网友评论