iOS AFN https请求设置证书验证
2018-12-07 本文已影响180人
Tomous
对于AFN设置https请求,有两个途径,一个是避开域名验证,一个是配置证书。下面就来记录一下这两个方法,方便以后使用。(好记性不如烂笔头)
-
避开域名验证
1、先在info.plist配置
<key>NSAppTransportSecurity</key>
<dict>
<key>NSAllowsArbitraryLoads</key>
<YES/>
</dict>
2、设置AFSecurityPolicy
AFSecurityPolicy *securityPolicy = [AFSecurityPolicy defaultPolicy];
securityPolicy.validatesDomainName = NO;
securityPolicy.allowInvalidCertificates = YES;
AFHTTPSessionManager *sessionManager = [AFHTTPSessionManager manager];
sessionManager.securityPolicy = securityPolicy;
-
配置证书
1、先去网站上下载证书,如下图所示
image.png
image.png
如果服务端给的是crt后缀的证书,因为iOS客户端用到的cer证书,所以需要自行转换;
.crt转.cer证书方法:
同样方法将.crt证书下载到桌面上,打开终端,cd到.crt证书的路劲下,
执行命令
openssl x509 -in 你的证书.crt -out 你的证书.cer -outform der
就会在桌面上看到一个.cer的证书。双击导入电脑,然后在钥匙串中找到证书,并设置信任。
直接把转换好的cer文件拖动到工程中
2、在AFN里面设置
AFHTTPSessionManager *sessionManager = [[AFHTTPSessionManager manager] initWithBaseURL:[NSURL URLWithString:Base_URL]];
[sessionManager setSecurityPolicy:[self customSecurityPolicy]];
- (AFSecurityPolicy *)customSecurityPolicy {
// 先导入证书 证书由服务端生成,具体由服务端人员操作
NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"app.wangdasong.top" ofType:@"cer"];//证书的路径
NSData *cerData = [NSData dataWithContentsOfFile:cerPath];
// AFSSLPinningModeCertificate 使用证书验证模式
AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];
// allowInvalidCertificates 是否允许无效证书(也就是自建的证书),默认为NO
// 如果是需要验证自建证书,需要设置为YES
securityPolicy.allowInvalidCertificates = YES;
//validatesDomainName 是否需要验证域名,默认为YES;
//假如证书的域名与你请求的域名不一致,需把该项设置为NO;如设成NO的话,即服务器使用其他可信任机构颁发的证书,也可以建立连接,这个非常危险,建议打开。
//置为NO,主要用于这种情况:客户端请求的是子域名,而证书上的是另外一个域名。因为SSL证书上的域名是独立的,假如证书上注册的域名是www.google.com,那么mail.google.com是无法验证通过的;当然,有钱可以注册通配符的域名*.google.com,但这个还是比较贵的。
//如置为NO,建议自己添加对应域名的校验逻辑。
securityPolicy.validatesDomainName = NO;
securityPolicy.pinnedCertificates = [[NSSet alloc]initWithObjects:cerData, nil];
return securityPolicy;
}
错误信息收录(以后遇到会持续更新)
A security policy configured with AFSSLPinningModeCertificate can only be applied on a manager with a secure base URL (i.e. https)
其实这个错误已经告诉我们是证书安全的问题,我们在封装网络请求的时候
AFHTTPSessionManager * manager = [AFHTTPSessionManager manager];//只写了这部分,现在要求这样写:
AFHTTPSessionManager * manager = [[AFHTTPSessionManager manager]initWithBaseURL:[NSURL URLWithString:url]];//URL就是你们服务器的URL前缀
❗️[AFHTTPSessionManager manager]这个需要写个单例,不然就会内存泄漏
