如何在AndroidManifest 中配置 networkSecurityConfig

如何在AndroidManifest中配置networkSecurityConfig

在Android开发中，网络安全是一个非常重要的部分。Android 9.0（API 级别 28）引入了网络安全配置（Network Security Configuration），允许开发者自定义应用的网络安全策略。通过配置networkSecurityConfig，开发者可以控制如何对待网络连接，特别是在HTTPS和TLS方面的解析和验证。这篇文章将详细探讨如何在AndroidManifest中配置networkSecurityConfig，包括代码示例和甘特图表示配置过程的时间线。

1. networkSecurityConfig简介

Android的网络安全配置允许你为应用配置不同的网络安全策略。使用networkSecurityConfig，你可以：

• 指定信任的证书颁发机构（CA）
• 配置域特定的安全策略
• 定义网络安全策略的受信任证书和密钥

2. 在AndroidManifest中配置networkSecurityConfig

为了在AndroidManifest文件中配置networkSecurityConfig，首先需要创建一个xml文件，通常位于res/xml目录。在这个xml文件中，你将定义networkSecurityConfig的各种规则。

2.1 创建Network Security Configuration XML文件

首先，在res/xml文件夹中创建一个新文件，命名为network_security_config.xml，文件内容如下：

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <domain-config cleartextTrafficPermitted="false">
        <domain includeSubdomains="true">example.com</domain>
        <trust-anchors>
            <certificates src="@raw/my_ca_cert" />
        </trust-anchors>
    </domain-config>
    
    <domain-config cleartextTrafficPermitted="true">
        <domain>example-plain.com</domain>
    </domain-config>
</network-security-config>

在上述示例中，我们创建了两个domain-config元素。第一个配置了对example.com的HTTPS连接，禁止明文流量，并且指定了信任的CA根证书。第二个domain-config允许对example-plain.com使用清晰的流量。

2.2 在AndroidManifest.xml中引用

现在，我们需要在AndroidManifest.xml文件中引用刚刚创建的network_security_config.xml文件。找到<application>标签，并添加以下属性：

<application
    android:name=".MyApplication"
    android:networkSecurityConfig="@xml/network_security_config"
    ...
    >
    ...
</application>

3. 使用自定义CA证书

在上面的示例中，我们使用了自定义的CA证书。如果你需要使用自定义CA证书，首先需要将证书文件，例如my_ca_cert.crt，放置在res/raw目录中。

3.1 将证书添加到项目

你可以通过以下步骤来添加证书：

1. 将证书文件复制到res/raw目录下。
2. 确保在network_security_config.xml中引用了正确的证书路径。

3.2 使用自签名证书

如果你不使用公共CA，并且希望使用自签名证书，可以在network_security_config.xml中进行如下配置：

<trust-anchors>
    <certificates src="@raw/self_signed_cert" />
</trust-anchors>

4. 测试和验证配置

在完成配置后，您可以使用如下工具进行测试和验证。

1. 使用openssl 进行连接测试，确保正确连接HTTPS时不会出现证书错误。
2. 使用Charles Proxy 或 Fiddler 等工具监控网络请求以确保配置生效。

5. 甘特图说明

为了帮助理解配置网络安全配置的过程，下面的甘特图展示了主要步骤及其时间安排。

gantt
    title 配置networkSecurityConfig的甘特图
    dateFormat  YYYY-MM-DD
    section 创建和配置
    创建network_security_config.xml :a1, 2023-10-01, 1d
    编写域配置 :a2, after a1, 1d
    添加自定义CA证书 :a3, after a2, 1d
    部署并测试 :a4, after a3, 2d

上述甘特图描述了配置networkSecurityConfig的主要步骤，从创建配置文件到测试的过程。

6. 注意事项

• 清晰流量：在大多数情况下，尽量避免使用明文流量。将cleartextTrafficPermitted设置为false，确保应用强制使用HTTPS。
• 调试信息：在开发阶段，如果出现SSL错误，请检查是否正确导入证书和配置。
• 兼容性：确保在build.gradle中的compileSdkVersion至少为28，以支持network security配置。

结论

通过配置networkSecurityConfig，Android开发者可以有效地增强应用的网络安全性。通过本文所述的步骤，您可以在项目中灵活地配置不同的网络安全策略和规则。记住，网络安全是一个动态的领域，需不断更新和改善安全策略以应对新出现的威胁。希望这篇文章能帮助你更好地理解和应用Android的网络安全配置。