Flutter 网络请求证书校验:HTTPS 安全通信的配置指南

在移动应用开发中,HTTPS 安全通信是保护用户数据的关键。Flutter 框架通过 HTTP 客户端包(如 dio)支持 HTTPS 请求,其中证书校验用于验证服务器身份,防止中间人攻击。本指南将逐步介绍如何配置证书校验,确保您的应用安全可靠。

1. 准备工作:安装依赖

在 Flutter 项目中,使用 dio 包处理 HTTPS 请求,因为它支持高级证书配置。在 pubspec.yaml 中添加依赖:

dependencies:
  dio: ^5.0.0  # 使用最新版本

运行 flutter pub get 安装包。

2. 基础 HTTPS 请求:使用系统默认证书

Flutter 默认使用设备信任的证书颁发机构(CA)进行校验。这适用于大多数公开网站。示例代码:

import 'package:dio/dio.dart';

void main() async {
  final dio = Dio();  // 创建 Dio 实例
  try {
    Response response = await dio.get('https://example.com');  // HTTPS 请求
    print('请求成功: ${response.data}');
  } catch (e) {
    print('请求失败: $e');  // 处理错误,如证书无效
  }
}

  • 优点:简单,自动处理可信 CA。
  • 注意:如果服务器证书无效(如过期或未签名),请求会失败。
3. 自定义证书校验:使用特定证书

对于自签名证书或私有服务器,需手动添加证书。使用 dioHttpClientAdapter 配置:

import 'package:dio/dio.dart';
import 'package:dio/adapter.dart';
import 'dart:io';

void main() async {
  final dio = Dio();
  // 配置自定义证书
  (dio.httpClientAdapter as DefaultHttpClientAdapter).onHttpClientCreate = (client) {
    final context = SecurityContext();
    context.setTrustedCertificatesBytes(File('assets/certificate.pem').readAsBytesSync());  // 加载证书文件
    return HttpClient(context: context);
  };

  try {
    Response response = await dio.get('https://your-private-server.com');
    print('请求成功: ${response.data}');
  } catch (e) {
    print('证书校验失败: $e');
  }
}

  • 步骤说明
    • 将证书文件(如 certificate.pem)放在 assets 文件夹,并在 pubspec.yaml 中声明: 
      flutter:
  assets:
    - assets/certificate.pem

    • setTrustedCertificatesBytes 加载证书字节数据。
    • 证书文件应为 PEM 格式(Base64 编码)。
  • 适用场景:内部测试服务器或自建服务。
  • 安全建议:确保证书来自可信源,避免泄露私钥。
4. 忽略证书错误(仅用于开发测试)

在开发阶段,可能需要临时跳过校验,但严禁在生产环境中使用。示例:

import 'package:dio/dio.dart';
import 'package:dio/adapter.dart';

void main() async {
  final dio = Dio();
  // 忽略所有证书错误
  (dio.httpClientAdapter as DefaultHttpClientAdapter).onHttpClientCreate = (client) {
    client.badCertificateCallback = (cert, host, port) => true;  // 返回 true 忽略错误
    return client;
  };

  try {
    Response response = await dio.get('https://insecure-server.com');
    print('请求成功(忽略校验): ${response.data}');
  } catch (e) {
    print('请求失败: $e');
  }
}

  • 警告:此方法禁用安全保护,仅限本地调试。使用后务必移除。
5. 平台特定注意事项
  • Android:默认使用系统 CA。如果需要自定义,需处理网络安全配置(在 AndroidManifest.xml 设置 android:usesCleartextTraffic="false")。
  • iOS:在 Info.plist 中添加 ATS 配置: 
    <key>NSAppTransportSecurity</key>
<dict>
    <key>NSAllowsArbitraryLoads</key>
    <true/>  <!-- 仅用于开发 -->
</dict>

    生产环境应禁用此设置。
6. 最佳实践总结
  • 生产环境:始终使用系统 CA 或自定义可信证书,避免忽略校验。
  • 证书管理:定期更新证书,使用工具(如 OpenSSL)生成和管理。
  • 测试:在真实设备测试,模拟证书失效场景。
  • 替代方案:如果 dio 不满足需求,考虑 http 包或原生通道,但 dio 更灵活。

通过以上步骤,您可以确保 Flutter 应用的 HTTPS 通信安全可靠。遇到问题,查阅 Dio 文档 或 Flutter 社区资源。

# 网络 # flutter # https
Logo
开源鸿蒙跨平台开发者社区

开源鸿蒙跨平台开发社区汇聚开发者与厂商,共建“一次开发,多端部署”的开源生态,致力于降低跨端开发门槛,推动万物智联创新。

更多推荐

Flutter 三方库 pubviz 的鸿蒙化适配指南 - 在鸿蒙系统上构建极致、严谨、基于依赖由于由于由于拓扑图的工业级项目依赖审计与工程效能引擎

什么是 Pubviz?它是一个将“由于项目依赖清单(Pubspec.lock)”与“由于由于有向无环图(DAG)”深度融合的任务审计中枢。由于由于。传统的。管理过程。由于由于依赖管理由于于由于层级过深。同步由于由于由于。在 Flutter for OpenHarmony 的实际开发中,利用该库,我们可以实现由于由于鸿蒙应用对应的。工程包。管理过程。由于由于极致由于由于。它是构建“极致稳健、依赖透明

avatar 开源鸿蒙跨平台开发者社区

Flutter 三方库 semaphore 的鸿蒙化适配指南 - 在鸿蒙系统上构建极致、稳健、基于信号量机制的工业级资源同步与并发流治理引擎

什么是 Semaphore?它是一个将“由于并发槽位管理(Slot Management)”与“由于异步等待逻辑”深度融合的算力库。由于由于。传统的。管理过程。由于由于并发管理由于于由于对Future的由于由由无序触发。管理过程。导致由于由于由于资源由于由由于溢出。在 Flutter for OpenHarmony 的实际开发中,利用该库,我们可以实现由于由于鸿蒙应用对应的。并发包。管理过程。由于

avatar 开源鸿蒙跨平台开发者社区

Flutter 三方库 flutter_app_packager 的鸿蒙化适配指南 - 在鸿蒙系统上构建极致、自动化、全平台的桌面端安装包打包与工程分发引擎

什么是 Flutter App Packager?它不仅是一个简单的可执行文件包装器,而是一个具备深厚 OS 分发标准底座的“打包中心”。它支持针对不同操作系统的元数据注入(如应用图标、版本号、作者信息)以及针对特定包格式(如 AppImage, Portable)的物理压实。在 Flutter for OpenHarmony 的实际开发中,利用该库,我们可以让鸿蒙生态的配套工具以“零分发门槛”的

avatar 开源鸿蒙跨平台开发者社区