iOS请求方法和网络安全
2017-01-31 本文已影响414人
MiracleGl
- GET和POST请求
- GET和POST请求简介
- GET请求模拟登陆
- POST请求模拟登陆
- GET和POST的对比
- 保存用户信息到偏好设置
- 网络安全
- Base64编码解码
- MD5加密
- 钥匙串
GET和POST请求,是HTTP协议下常用的两种请求网络数据的方法。
GET和POST请求
-
简介
- GET请求:
GET的本质是得.从服务器获取数据,效率比POST高.GET请求能够被缓存在 HTTP 协议定义中,没有对GET请求的数据大小限制,不过因为浏览器不同一般限制在 2~8K 之间GET发送请求时,URL中除了资源路径以外,所有的参数(查询字符串)也包装在URL中,并且服务器的访问日志会记录,不要传递敏感信息
浏览器可以监视GET请求.
- POST请求
POST的本质是给.向服务器发送数据,也可以获得服务器处理之后的结果,效率不如GET.POST请求不能被缓存.POST提交数据比较大,大小靠服务器的设定值限制,PHP通常限定 2M.POST发送请求时,URL中只有资源路径,但不包含参数,服务器日志不会记录参数,相对更安全.参数被包装成二进制的数据体,格式与 GET 基本一致,只是不包含 ?.注意 : 所有涉及到用户隐私的数据(密码,银行卡号)一定记住使用 POST 方式传递.
浏览器可以监视POST请求.但是不容易捕捉到.
- GET请求:
-
GET请求模拟登陆
-
准备界面
- 登陆按钮点击事件
- (IBAction)loginClick:(id)sender
{
NSString *userName = self.userNameTextField.text;
NSString *psd = self.psdTextField.text;
NSString *loginURLString = [NSString stringWithFormat:@"http://xxx/php/login/login.php?username=%@&password=%@",userName,psd];
/*
注意 :
GET请求时,问号`?`后面的查询字符串里面不能有中文或者空格.如果有就需要使用%转义.不然URL会为nil
POST请求时,请求体里面可以有中文.
URLQueryAllowedCharacterSet : 百分号转义查询字符串
*/
loginURLString = [loginURLString stringByAddingPercentEncodingWithAllowedCharacters:[NSCharacterSet URLQueryAllowedCharacterSet]];
// URL
NSURL *URL = [NSURL URLWithString:loginURLString];
// 发起和启动任务
[[[NSURLSession sharedSession] dataTaskWithURL:URL completionHandler:^(NSData * _Nullable data, NSURLResponse * _Nullable response, NSError * _Nullable error) {
// 错误处理
if (error == nil && data != nil) {
// json反序列化
NSDictionary *result = [NSJSONSerialization JSONObjectWithData:data options:0 error:NULL];
// 判断是否登陆成功
if ([result[@"userId"] integerValue] == 1) {
NSLog(@"登陆成功");
} else {
NSLog(@"登陆失败");
}
} else {
NSLog(@"%@",error);
}
}] resume];
}
```
* 注意:`URL参数中如果有汉字或空格或者特殊字符,需要进行百分号转义.否则,创建NSURL会返回nil;`
* ####POST请求模拟登陆
* 准备界面
* 登陆按钮点击事件
- (IBAction)loginClick:(id)sender
{
// URL
NSURL *URL = [NSURL URLWithString:@"http://xxx/php/login/login.php"];
// 创建请求
NSMutableURLRequest *requestM = [NSMutableURLRequest requestWithURL:URL];
// 设置请求方法
requestM.HTTPMethod = @"POST";
// 设置请求体 : POST做登陆和注册时需要额外的发送请求体
requestM.HTTPBody = [self getHTTPBody];
// 发起和启动任务
[[[NSURLSession sharedSession] dataTaskWithRequest:requestM completionHandler:^(NSData * _Nullable data, NSURLResponse * _Nullable response, NSError * _Nullable error) {
// 错误处理
if (error == nil && data != nil) {
// 反序列化json
NSDictionary *result = [NSJSONSerialization JSONObjectWithData:data options:0 error:NULL];
// 判断是否登陆成功
if ([result[@"userId"] intValue] == 1) {
NSLog(@"登陆成功");
} else {
NSLog(@"登陆失败");
}
} else {
NSLog(@"%@",error);
}
}] resume];
}
```
-
设置请求体
- (NSData *)getHTTPBody
{
NSString *body = [NSString stringWithFormat:@"username=%@&password=%@",self.userNameTextField.text,self.psdTextField.text];
NSData *HTTPBody = [body dataUsingEncoding:NSUTF8StringEncoding];
return HTTPBody;
}
```
-
GET和POST的对比
- URL
- GET:
http://xxx/php/login/login.php?username=zhangsan&password=zhang - POST:
http://xxx/php/login/login.php
- GET:
- GET请求
URL 中在指定资源路径后面,包含了所有参数(查询字符串).GET是网络访问使用频率最高的方法.从服务器获取数据默认方法就是 GET.
- POST请求
URL 中不包含任何参数,直接指定资源路径即可.没有 ?.POST请求 需要指定HTTP的访问方法为:@"POST".所有的参数都在请求体中指定.
- URL
-
保存用户信息到偏好设置
-
定义宏
*#define userName @"userName"
*#define psd @"psd"
- 保存用户信息到偏好设置
- (void)saveUserInfos
{
[[NSUserDefaults standardUserDefaults] setObject:self.userNameTextField.text forKey:userName];
[[NSUserDefaults standardUserDefaults] setObject:self.psdTextField.text forKey:psd];
}
```
* 从偏好设置获取用户信息
- (void)readUserInfos
{
self.userNameTextField.text = [[NSUserDefaults standardUserDefaults] objectForKey:userName];
self.psdTextField.text = [[NSUserDefaults standardUserDefaults] objectForKey:psd];
}
```
- 登陆成功,保存用户信息到偏好设置
- (void)viewDidLoad {
[super viewDidLoad];
// 程序启动之后,从偏好设置获取用户信息
[self readUserInfos];
}
- (IBAction)loginClick:(id)sender
{
// URL
NSURL *URL = [NSURL URLWithString:@"http://xxx/php/login/login.php"];
// 创建请求
NSMutableURLRequest *requestM = [NSMutableURLRequest requestWithURL:URL];
// 设置请求方法
requestM.HTTPMethod = @"POST";
// 设置请求体 : POST做登陆和注册时需要额外的发送请求体
requestM.HTTPBody = [self getHTTPBody];
// 发起和启动任务
[[[NSURLSession sharedSession] dataTaskWithRequest:requestM completionHandler:^(NSData * _Nullable data, NSURLResponse * _Nullable response, NSError * _Nullable error) {
// 错误处理
if (error == nil && data != nil) {
// 反序列化json
NSDictionary *result = [NSJSONSerialization JSONObjectWithData:data options:0 error:NULL];
// 判断是否登陆成功
if ([result[@"userId"] intValue] == 1) {
NSLog(@"登陆成功");
// 登陆成功之后,保存用户信息到偏好设置
[self saveUserInfos];
} else {
NSLog(@"登陆失败");
}
} else {
NSLog(@"%@",error);
}
}] resume];
}
```
* 程序启动,从偏好设置读取用户信息
- (void)viewDidLoad {
[super viewDidLoad];
// 程序启动,从偏好设置读取用户信息
[self readUserInfos];
}
```
网络安全
-
Base64编码解码
- 简介
是网络上使用最广泛的编码系统,能够将任何二进制数据,转换成只有 65 个字符组成的文本文件.编码后的数据由 a-z A-Z 0-9 + / = 表示.base64 编码后的结果能够反算,不够安全.base64 是所有现代加密算法的基础算法.
- 原理
把一个字符转换成二进制取出前6位查表.不够6位的时候补0,如果是8位,则补4个0,编码后连接两个==.如果最后是4位,补2个0,编码后连接一个=.-
编码之后文件会变大,因为有补0.
- 加密和解密
发送隐私信息时需要加密提示 : 服务器上保存的私密信息是机密之后的数据保存隐私信息时也需要加密读取保存的隐私信息时需要解密网络应用程序的数据安全
- Base64编码解码模拟加密解密代码实现
- 简介
-
base64编码 ===> 模拟加密
/// base64编码---加密 : 传入需要"加密"的字符串,返回"加密"之后的字符串
- (NSString *)base64Encode:(NSString *)str
{
// 1.将需要加密的数据转成二进制,因为Base64的编码和解码都是针对二进制的
NSData *data = [str dataUsingEncoding:NSUTF8StringEncoding];
// 2.把二进制数据编码之后,直接转成字符串
NSString *encodeStr = [data base64EncodedStringWithOptions:0];
// 3.返回结果
return encodeStr;
}
- base64解码 ===> 模拟解密
/// base64解码---解密
- (NSString *)base64Decode:(NSString *)encodeStr
{
if (encodeStr.length == 0) {
return nil;
}
// 1.把编码之后的字符串解码成二进制
NSData *data = [[NSData alloc] initWithBase64EncodedString:encodeStr options:0];
// 2.把解码之后的二进制转换成字符串
NSString *decodeStr = [[NSString alloc] initWithData:data encoding:NSUTF8StringEncoding];
// 3. 返回结果
return decodeStr;
}
- 发送用户信息时先"加密".
- (NSData *)getHTTPBody
{
// 发送密码之前先加密
NSString *password = [self base64Encode:self.psdTextField.text];
NSString *body = [NSString stringWithFormat:@"username=%@&password=%@",self.userNameTextField.text,password];
NSData *HTTPBody = [body dataUsingEncoding:NSUTF8StringEncoding];
return HTTPBody;
}
- 保存用户信息之前"加密"处理.
- (void)saveUserInfos
{
[[NSUserDefaults standardUserDefaults] setObject:self.userNameTextField.text forKey:userName];
// 密码保存之前先加密
NSString *password = [self base64Encode:self.psdTextField.text];
[[NSUserDefaults standardUserDefaults] setObject:password forKey:psd];
}
- 读取本地"加密"的用户信息时需要"解密".
- (void)readUserInfos
{
self.userNameTextField.text = [[NSUserDefaults standardUserDefaults] objectForKey:userName];
// 取出密码之前先解密
NSString *password = [self base64Decode:[[NSUserDefaults standardUserDefaults] objectForKey:psd]];
self.psdTextField.text = password;
}
-
Base64编码的好处坏处
- 好处:
使用Base64编码之后,不能直接看到用户密码的明文. - 问题:
但是Base64编码解码的算法是公开的,并且算法可逆,安全性并不好.
- 好处:
-
MD5加密
- 简介
对任意的数据进行计算,生成固定长度的字符串.32个字符.一般用来加密密码.有时候也用来验证文件下载时,是否被篡改过.
- 简介
-
MD5终端命令
# 得到文件的MD5值
$ md5 文件名
# 得到字符串的MD5值
md5 -s "string"
-
MD5加密方案
先导入分类 #import "NSString+Hash.h"
-
方案一:
-
password = [self.psdTextField.text md5String];- Base64与MD5对比
Base64编码 : "加密"简单,算法可逆.毫无安全性可言.不能用来加密密码.MD5 : 加密过程复杂,算法不可逆,安全性高,常用来加密密码等用户的敏感信息.但是简单的密码MD5加密之后可以暴力破解.-
暴力破解网站 :cmd5
- Base64与MD5对比
-
-
方案二 : 密码加盐
如果原始密码过于简单,直接进行MD5加密是很容易被暴力破解的.为了增强密码的安全性,防止加密的密码被暴力破解,可以向原始密码中加盐.盐 : 服务器端和客户端约定的一个字符串.MD5+盐 : 原始密码+盐拼接出新的密码字符串,再进行MD加密.以上为加一勺盐,比单纯的直接MD5加密安全性要高.盐要足够的咸,越咸越安全.
// 盐
NSString *salt = @"123zxcASD!@#";
password = [[self.psdTextField.text stringByAppendingString:salt] md5String];
-
方案三 : HMAC
HMAC : 加两勺盐.加两勺盐的密码加密强度比加一勺盐要高.原理 : 原始密码+盐进行MD5计算,结算的结果+原始密码再进行MD5计算.
// 盐
NSString *salt = @"123zxcASD!@#";
password = [self.psdTextField.text hmacMD5StringWithKey:salt];
-
注意
不能用不可逆的加密算法加密密码并保存到本地.因为不可逆的加密算法加密的数据几乎不能还原回来.苹果提供了钥匙串专门保存用户的私密信息到本地.
-
获取请求体的方法
- (NSData *)getHTTPBody
{
// 发送密码之前先加密
NSString *password;
// Base64编码模拟加密
// password = [self base64Encode:self.psdTextField.text];
// MD5加密
// password = [self.psdTextField.text md5String];
#pragma MD5加盐
// 1. 加一勺盐,加密强度比单纯的MD5加密更高.越咸安全性越高
// 加盐的字符串 : 服务器端和客户端约定的一个字符串.
// NSString *salt = @"123zxcASD!@#";
// password = [[self.psdTextField.text stringByAppendingString:salt] md5String];
// 2. HMAC : 加两勺盐.原始密码+盐进行MD5计算,计算的结果+原始密码再进行MD5计算
NSString *salt = @"123zxcASD!@#";
password = [self.psdTextField.text hmacMD5StringWithKey:salt];
NSString *body = [NSString stringWithFormat:@"username=%@&password=%@",self.userNameTextField.text,password];
NSData *HTTPBody = [body dataUsingEncoding:NSUTF8StringEncoding];
return HTTPBody;
}
-
钥匙串
-
简介
safari 偏好设置里面可以读取到保存到钥匙串中的密码.使用 AES 256 加密算法,能够保证用户密码的安全.钥匙串访问SDK,是苹果在 iOS 7.0.3 版本以后公布的.钥匙串访问的SDK是纯 C 语言的.钥匙串访问的密码保存在哪里?只有苹果知道!是为了进一步保障用户的密码安全!钥匙串访问的第三方框架,是对 C 框架的封装,可以不用看源代码.-
框架地址 :https://github.com/soffes/sskeychain
-
sskeychain提供的常用的方法
/// 所有账户
+ (NSArray *)allAccounts;
/// 获取所有账户信息
+ (NSArray *)accountsForService:(NSString *)serviceName;
/// 获取账号密码
+ (NSString *)passwordForService:(NSString *)serviceName account:(NSString *)account;
/// 删除账号密码
+ (BOOL)deletePasswordForService:(NSString *)serviceName account:(NSString *)account;
/// 将账号密码保存在钥匙串
+ (BOOL)setPassword:(NSString *)password forService:(NSString *)serviceName account:(NSString *)account;
- 密码保存到钥匙串
先导入头文件 : #import "SSKeychain.h"
/*
参数1 : 要保存到钥匙串的密码
参数2 : 保存哪个应用的密码
参数3 : 保存哪个账号的密码
*/
[SSKeychain setPassword:self.psdTextField.text forService:[NSBundle mainBundle].bundleIdentifier account:self.userNameTextField.text];
- 从钥匙串读取密码
self.psdTextField.text = [SSKeychain passwordForService:[NSBundle mainBundle].bundleIdentifier account:self.userNameTextField.text];
感谢读到最后的朋友,最后祝大家新年快乐,请点赞支持一下,谢谢!
