本篇简介：

本篇的小目标：

• 挑战通过Qt WebEngine实现与服务端的Https双向认证

双向认证，Qt WebEngine和Chromium

这里先说结论：挑战失败了。至少使用Qt WebEngine目前已实现的组件没有办法直接实现双向认证。
先来简要分析一下实现双向认证需要做些什么。首先，服务端和客户端——客户端也就是我们的定制浏览器——各自需要向对方提供自己的安全证书，并检查对方所提供的安全证书是否在自己的信任库中。Qt提供了设置这样的安全环境的组件QSslConfiguration，普通的加密通信如果要实现双向认证，可以很方便地使用这个组件完成客户端证书和信任库的设置（具体可以参考我的另一篇文章：QSslSocket双向认证设置）。

然而比较坑的地方是，就目前的5.10版而言，Qt WebEngine并不能直接载入QSslConfiguration里的设置。因为使用了Chromium作为内核，WebEngine在加载页面时走的是Chromium自己的一条网络栈，并没使用Qt的安全环境设置。而Chromium在处理Https请求时，默认是直接读取操作系统中设置的证书作为客户端自己的安全证书，现有版本的WebEngine对此没有进行更改。更坑的地方是，Chromium本身是提供了选择客户端证书的接口的，在使用Chrome浏览器第一次访问需要认证客户端的https页面时，会弹出一个选择客户端证书的框，如下图所示：

certselect.png

而WebEngine似乎会直接略过客户端证书的加载。这个bug已经被提交到了官方，已经有相应的补丁出炉，但是要整合到发布版里可能要等到Qt5.12版本了，具体可参考：WebEngine无法载入客户端证书的bug report。

上面所说的这个bug，直接导致了服务端无法对客户端进行安全认证。因此就现有版本而言，是无法直接通过使用WebEngine来实现https双向认证的。在Qt源码中打上上面链接中的补丁并重新编译Qt的话应该可以一定程度解决这个问题，这里我就不进行进一步的尝试了。

那么反过来，客户端可以认证服务端证书吗？承前所述，因为WebEngine无法直接载入QSslConfiguration里的设置，同时也没有提供查询服务端证书信息的接口，因此客户端也无法直接认证服务端的证书。

迂回路线？

那么，有没有办法绕过上面说的这些坑呢？当然有，那就是不使用WebEngine的load，而使用Qt自己的QNetworkAccessManager访问页面，然后将返回数据通过WebEngineView的各种setter（例如setHtml）控制WebEngine对页面进行加载。这种方式比较繁琐，可能会适用于某些仅访问较为固定页面的系统。但是这和我在这个系列开篇所讲的理念就不是非常相符了，因此在这里就不展开分析了。

不用双向认证的https？

这里再把问题简化一下：如果服务端和客户端不需要进行相互认证，只是希望通信是加密呢？这其实实现起来就和普通的http访问没有太大的区别了。

这里只稍微分析下一种比较常见的情况：服务端的证书不受信任。我们在使用chrome浏览器访问证书不受信任的https网站时，会弹出“您的链接不是私密链接”的提示页面，然后可以通过选择继续前往强制访问。而WebEngine默认的实现则会直接ban掉这次访问，并没有提供强制访问的选项。

好在这次WebEnginePage里提供了certificateError方法可以解决这个问题。只需要实现一个WebEnginePage的子类，并重载certificateError，就可以选择性地忽略一些证书错误。下面的实现里忽略了证书不受信任的错误，供大家参考：

QList<QWebEngineCertificateError::Error> QSslPage::m_allowedError =
    QList<QWebEngineCertificateError::Error>()
    << QWebEngineCertificateError::Error::CertificateAuthorityInvalid;

SslPage::SslPage(QObject* parent) : QWebEnginePage(parent)
{
}

bool SslPage::certificateError(const QWebEngineCertificateError& certificateError)
{
    if (m_allowedError.contains(certificateError.error()))
    {
        return true;
    }
    else
    {
        qDebug() << "[cert error]" << certificateError.errorDescription();
        return QWebEnginePage::certificateError(certificateError);
    }
}

其中m_allowedError是静态成员变量。

总结

我最初开始尝试使用WebEngine是差不多两年前，那个时候Qt还是5.6的版本，上面所说的Https的问题自不用说，还存在上篇文章里提到的WebChannel的严重bug。所以最终无奈之下，我放弃了WebEngine而采用了更底层的CEF进行开发。希望在Qt的后续版本里，WebEngine的种种问题能得以改善——毕竟是Qt自家的组件，使用起来还是更便利一些的。

写到这里，我个人有关WebEngine的整理也进行的差不多了。下一篇开始介绍Qt整合CEF实现定制化浏览器的方案。

>>返回系列索引

参考链接

[1] WebEngine无法载入客户端证书的bug report
[2] QSslSocket双向认证设置
[3] Chromium官方证书管理教程(基于nss)
[4] 如何用Tomcat和Openssl构建HTTPS双向认证环境（HTTPS客户端认证）