Qt学习

Qt嵌入浏览器(三)——QWebEngine与Https

2018-02-24  本文已影响331人  ArcDriver

本篇简介:

本篇的小目标:

双向认证,Qt WebEngine和Chromium

这里先说结论:挑战失败了。至少使用Qt WebEngine目前已实现的组件没有办法直接实现双向认证。
先来简要分析一下实现双向认证需要做些什么。首先,服务端和客户端——客户端也就是我们的定制浏览器——各自需要向对方提供自己的安全证书,并检查对方所提供的安全证书是否在自己的信任库中。Qt提供了设置这样的安全环境的组件QSslConfiguration,普通的加密通信如果要实现双向认证,可以很方便地使用这个组件完成客户端证书和信任库的设置(具体可以参考我的另一篇文章:QSslSocket双向认证设置)。

然而比较坑的地方是,就目前的5.10版而言,Qt WebEngine并不能直接载入QSslConfiguration里的设置。因为使用了Chromium作为内核,WebEngine在加载页面时走的是Chromium自己的一条网络栈,并没使用Qt的安全环境设置。而Chromium在处理Https请求时,默认是直接读取操作系统中设置的证书作为客户端自己的安全证书,现有版本的WebEngine对此没有进行更改。更坑的地方是,Chromium本身是提供了选择客户端证书的接口的,在使用Chrome浏览器第一次访问需要认证客户端的https页面时,会弹出一个选择客户端证书的框,如下图所示:

certselect.png

WebEngine似乎会直接略过客户端证书的加载。这个bug已经被提交到了官方,已经有相应的补丁出炉,但是要整合到发布版里可能要等到Qt5.12版本了,具体可参考:WebEngine无法载入客户端证书的bug report

上面所说的这个bug,直接导致了服务端无法对客户端进行安全认证。因此就现有版本而言,是无法直接通过使用WebEngine来实现https双向认证的。在Qt源码中打上上面链接中的补丁并重新编译Qt的话应该可以一定程度解决这个问题,这里我就不进行进一步的尝试了。

那么反过来,客户端可以认证服务端证书吗?承前所述,因为WebEngine无法直接载入QSslConfiguration里的设置,同时也没有提供查询服务端证书信息的接口,因此客户端也无法直接认证服务端的证书。

迂回路线?

那么,有没有办法绕过上面说的这些坑呢?当然有,那就是不使用WebEngine的load,而使用Qt自己的QNetworkAccessManager访问页面,然后将返回数据通过WebEngineView的各种setter(例如setHtml)控制WebEngine对页面进行加载。这种方式比较繁琐,可能会适用于某些仅访问较为固定页面的系统。但是这和我在这个系列开篇所讲的理念就不是非常相符了,因此在这里就不展开分析了。

不用双向认证的https?

这里再把问题简化一下:如果服务端和客户端不需要进行相互认证,只是希望通信是加密呢?这其实实现起来就和普通的http访问没有太大的区别了。

这里只稍微分析下一种比较常见的情况:服务端的证书不受信任。我们在使用chrome浏览器访问证书不受信任的https网站时,会弹出“您的链接不是私密链接”的提示页面,然后可以通过选择继续前往强制访问。而WebEngine默认的实现则会直接ban掉这次访问,并没有提供强制访问的选项。

好在这次WebEnginePage里提供了certificateError方法可以解决这个问题。只需要实现一个WebEnginePage的子类,并重载certificateError,就可以选择性地忽略一些证书错误。下面的实现里忽略了证书不受信任的错误,供大家参考:

QList<QWebEngineCertificateError::Error> QSslPage::m_allowedError =
    QList<QWebEngineCertificateError::Error>()
    << QWebEngineCertificateError::Error::CertificateAuthorityInvalid;

SslPage::SslPage(QObject* parent) : QWebEnginePage(parent)
{
}

bool SslPage::certificateError(const QWebEngineCertificateError& certificateError)
{
    if (m_allowedError.contains(certificateError.error()))
    {
        return true;
    }
    else
    {
        qDebug() << "[cert error]" << certificateError.errorDescription();
        return QWebEnginePage::certificateError(certificateError);
    }
}

其中m_allowedError是静态成员变量。

总结

我最初开始尝试使用WebEngine是差不多两年前,那个时候Qt还是5.6的版本,上面所说的Https的问题自不用说,还存在上篇文章里提到的WebChannel的严重bug。所以最终无奈之下,我放弃了WebEngine而采用了更底层的CEF进行开发。希望在Qt的后续版本里,WebEngine的种种问题能得以改善——毕竟是Qt自家的组件,使用起来还是更便利一些的。

写到这里,我个人有关WebEngine的整理也进行的差不多了。下一篇开始介绍Qt整合CEF实现定制化浏览器的方案。

>>返回系列索引

参考链接

[1] WebEngine无法载入客户端证书的bug report
[2] QSslSocket双向认证设置
[3] Chromium官方证书管理教程(基于nss)
[4] 如何用Tomcat和Openssl构建HTTPS双向认证环境(HTTPS客户端认证)

上一篇下一篇

猜你喜欢

热点阅读