iOS-网络-HTTPS协议

上文介绍了HTTP协议，本文介绍一下HTTPS协议。

1. 什么是HTTPS

HTTPS（全称：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版，即HTTP下加入SSL层。HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL，它是一个URI scheme（抽象标识符体系），句法类同http:体系，用于安全的HTTP数据传输。

https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层（在HTTP与TCP之间）。

HTTPS = HTTP + 加密 + 认证 + 完整性保护，其实HTTPS是身披SSL外壳的HTTP。

2. HTTPS和HTTP的区别主要为以下四点：

1. https协议需要到ca申请证书，一般免费证书很少，需要交费。
2. http是超文本传输协议，信息是明文传输，https 则是具有安全性的ssl加密传输协议。
3. http和https使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443。
4. http的连接很简单，是无状态的；HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比http协议安全。

3. HTTPS的通信过程

当客户端发送数据请求的时候客户端不会马上返回响应数据，而是创建一个安全证书，然后把安全证书给客户端安装，安装之后，客户端和服务端就创建了一个受保护的空间通道，服务器端有公钥和私钥，公钥发给客户端，留着客户端加密数据用，私钥服务端留着，用来解密客户端发来的信息，然后响应完成。

HTTPS = HTTP + SSL（Secure socket layer，安全套接字层）

HTTPS响应过程.png

4. HTTPS工作原理详细过程

HTTPS工作在客户端和服务器端之间。客户端和服务器本身都会自带一些加密的算法，用于双方协商加密的选择项。

1. 客户端首先会将自己版本号，支持的加密算法等，打个包告诉服务器端。
2. 服务器端从客户端发来的加密算法中，选出一组加密算法和HASH算法（注：HASH也属于加密），并将自己的身份信息以证书的形式发回给客户端，证书中包含了网站的地址，加密用的公钥，以及证书的颁发机构等。
   这里，服务器就将自己用来加密用的公钥一同发给客户端，而私钥则服务器保存着，用户解密客户端加密过后的内容。
3. 客户端收到了服务器发来的数据包后，会做这么几件事情：
   ① 验证一下证书是否合法。一般来说，证书是用来标示一个站点是否合法的标志，如果说该证书由权威的第三方颁发和签名的，则说明证书合法。
   ② 如果证书合法，或者客户端接受和信任了不合法的证书，则客户端就会随机产生一串序列号，使用服务器发来的公钥进行加密。这时候，一条返回的消息就基本就绪。
   ③ 最后使用服务器挑选的HASH算法，将刚才的消息使用刚才的随机数进行加密，生成相应的消息校验值，与刚才的消息一同发还给服务器。
4. 服务器接受到客户端发来的消息后，会做这么几件事情：
   ① 使用私钥解密上面第3-②中公钥加密的消息，得到客户端产生的随机序列号。
   ② 使用该随机序列号，对该消息进行加密，验证的到的校验值是否与客户端发来的一致，如果一致则说明消息未被篡改，可以信任。
   ③ 最后，使用该随机序列号，加上之前第2步中选择的加密算法，加密一段握手消息，发还给客户端，同时HASH值也带上。
5. 客户端收到服务器端的消息后，接着做这么几件事情：
   ① 计算HASH值是否与发的消息一致
   ② 检查消息是否为握手消息
6. 握手结束后，客户端和服务器端使用握手阶段产生的随机数以及挑选出来的算法进行对称加解密的传输。

详细过程如下图： HTTPS原理.png

为什么不直接全程使用非对称加密算法进行数据传输？这个问题的答案是因为非对称算法的效率对比起对称算法来说，要低得多得多，因此往往只用在HTTPS的握手阶段。

5. 其他说明

1. HTTPS的主要思想是在不安全的网络上创建一安全信道，并可在使用适当的加密包和服务器证书可被验证且可被信任时，对窃听和中间人攻击提供合理的保护。
2. HTTPS的信任继承基于预先安装在浏览器中的证书颁发机构（如VeriSign、Microsoft等）（意即“我信任证书颁发机构告诉我应该信任的”）。
3. 因此，一个到某网站的HTTPS连接可被信任，如果服务器搭建自己的https 也就是说采用自认证的方式来建立https信道，这样一般在客户端是不被信任的。
4. 所以我们一般在浏览器访问一些https站点的时候会有一个提示，问你是否继续。

6. 对iOS开发的影响

#import "ViewController.h"
#import "AFNetworking.h"
 
@interface ViewController ()<NSURLSessionDataDelegate>
 
@end
 
@implementation ViewController
 
-(void)touchesBegan:(NSSet<UITouch *> *)touches withEvent:(UIEvent *)event
{
    [self afn];
}
 
-(void)afn
{
    AFHTTPSessionManager *manager = [AFHTTPSessionManager manager];
    
    //更改解析方式
    manager.responseSerializer = [AFHTTPResponseSerializer serializer];
    
    //设置对证书的处理方式
    manager.securityPolicy.allowInvalidCertificates = YES;
    manager.securityPolicy.validatesDomainName = NO;
    
    [manager GET:@"https://kyfw.12306.cn/otn" parameters:nil progress:nil success:^(NSURLSessionDataTask * _Nonnull task, id  _Nullable responseObject) {
        NSLog(@"success---%@",[[NSString alloc]initWithData:responseObject encoding:NSUTF8StringEncoding]);
    } failure:^(NSURLSessionDataTask * _Nullable task, NSError * _Nonnull error) {
        NSLog(@"error---%@",error);
    }];
}
 
-(void)session
{
    NSURLSession *session = [NSURLSession sessionWithConfiguration:[NSURLSessionConfiguration defaultSessionConfiguration] delegate:self delegateQueue:nil];
    
    NSURL *url = [NSURL URLWithString:HttpsURL];
    
    NSMutableURLRequest *request = [[NSMutableURLRequest alloc] initWithURL:url];
    
    request.HTTPMethod = @"POST";
    
    NSString *bodyStr = @"clientversion=6.0&clienttype=2";
    
    request.HTTPBody = [bodyStr dataUsingEncoding:NSUTF8StringEncoding];
    
    NSURLSessionTask *task = [session dataTaskWithRequest:request];
    
    [task resume];
}
 
#pragma mark NSURLSessionDataDelegate
//如果发送的请求是https的,那么才会调用该方法
-(void)URLSession:(NSURLSession *)session didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition, NSURLCredential * _Nullable))completionHandler
{
    if(![challenge.protectionSpace.authenticationMethod isEqualToString:@"NSURLAuthenticationMethodServerTrust"])
    {
        return;
    }
    NSLog(@"%@",challenge.protectionSpace);
    //NSURLSessionAuthChallengeDisposition枚举   如何处理证书
    /*
     NSURLSessionAuthChallengeUseCredential = 0, 使用该证书 安装该证书
     NSURLSessionAuthChallengePerformDefaultHandling = 1, 默认采用的方式,该证书被忽略
     NSURLSessionAuthChallengeCancelAuthenticationChallenge = 2, 取消请求,证书忽略
     NSURLSessionAuthChallengeRejectProtectionSpace = 3,          拒绝
     */
    //生成一个无条件信任的credential
    NSURLCredential *credential = [[NSURLCredential alloc]initWithTrust:challenge.protectionSpace.serverTrust];
    
    //NSURLCredential 授权信息
    completionHandler(NSURLSessionAuthChallengeUseCredential,credential);
}
@end

如果使用了系统的NSURLSession进行数据请求，只要请求的地址是HTTPS的，就会调用didReceiveChallenge:这个代理方法，我们需要在该方法中告诉系统，是否信任服务器返回的证书，上面的方法直接使用无条件信任了。

如果是使用AFN框架，那么我们不需要做任何额外的操作，因为AFN内部已经做了处理。

AFN验证的源码如下：

/*
 两种方式： 本地证书验证 （需要验证本地证书）
            1 验证服务器
            2 本地证书生成NSURLCredential对象，代理回调block来处理相关事务
 
          无本地证书验证NSURLAuthenticationMethodServerTrust（直接信任服务器）
            1 验证服务器
            2 直接通过服务器传过来的challenge 生成NSURLCredential对象(这个对象关联了客户端https相关信息)，代理回调block来处理相关事务
 */
// 验证来源是否有效
- (void)URLSession:(NSURLSession *)session
didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge
 completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition disposition, NSURLCredential *credential))completionHandler
{
    NSURLSessionAuthChallengeDisposition disposition = NSURLSessionAuthChallengePerformDefaultHandling;
    __block NSURLCredential *credential = nil;
    // 两种方式 1 外部处理NSURLSessionAuthChallengeDisposition 2 AF内部默认处理它
    if (self.sessionDidReceiveAuthenticationChallenge) {// 1外部（你自己处理）
        disposition = self.sessionDidReceiveAuthenticationChallenge(session, challenge, &credential);
    } else {// 2内部(AF处理)
        // challenge 服务器过来的，方式（NSURLAuthenticationMethodServerTrust），是否要本地验证
        if ([challenge.protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust]) {
            //内部三种验证方式 1 无条件信任  2 证书验证  3 公约验证
            if ([self.securityPolicy evaluateServerTrust:challenge.protectionSpace.serverTrust forDomain:challenge.protectionSpace.host]) { // 验证逻辑
                // 返回YES，server是没问题的
                credential = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];// 生成一个信任的NSURLCredential对象
                if (credential) {
                    //Use the specified credential
                    disposition = NSURLSessionAuthChallengeUseCredential;
                } else {
                    disposition = NSURLSessionAuthChallengePerformDefaultHandling;
                }
            } else {
                disposition = NSURLSessionAuthChallengeCancelAuthenticationChallenge;
            }
        } else {
            disposition = NSURLSessionAuthChallengePerformDefaultHandling;
        }
    }

    if (completionHandler) {
        completionHandler(disposition, credential);
    }
}