iOS开发之HTTPS
在今年的WWDC 2016苹果开发者大会上,苹果再一次提到了数据安全方面,并且宣布iOS应用将从2017年1月起启用名为ATS的安全传输功能,将强制使用HTTPS安全连接。
首先,ATS 安全标准是苹果在发布 iOS 9 和 OS X EI Capitan 系统时发布的,这一标准通过强行推动一系列安全实际操作,从而积极促进安全性,同时还要求网络请求必须在一个安全的链接上传输,当开启 ATS 之后,网络传输将自动通过 HTTPS 协议传输而不是 HTTP 协议。启用HTTPS网络连接之后,数据传输的安全性将大幅提升,不容易被黑客拦截破译。
那么HTTPS相对于HTTP到底有何区别和优势呢?互联网全站HTTPS的时代已经到来,这篇文章其实已经给我们做了比较清楚的对比和分析,如果关于两者的基础知识还不太理解的,我建议可以阅读一些相关资料,比如马海祥博客HTTP与HTTPS的区别也对两者做了基本分析,值得一读。
这里我想给大家分享的不是基础知识点,也不是深入剖析两者的优劣,因为已经有很多资历深厚的前辈给我们做了大量的教程,只要你不懒,我相信是可以找到更多学习资料的。
所以今天我们还是从iOS开发入手,就聊一下关于HTTP和HTTPS到底该怎么使用,两者的实际开发流程有什么区别。
做iOS开发的对下面这段代码应该比较熟悉了:
Snip20160918_1.png
自从苹果开始大力推崇HTTPS之后,我们使用HTTP连接就需要在info.plist进行上面的配置,不然就会出现下面这种报错:
App Transport Security has blocked a cleartext HTTP (http://) resource load since it is insecure. Temporary exceptions can be configured via your app's Info.plist file.
这是因为xcode7之后,苹果要求APP使用HTTPS协议,修改方法是要么使服务器支持https访问,要么设置允许不安全的网络协议。我们常用的还是直接添加设置允许,所以就用到了上面的方法。那么问题来了,从2017年开始,苹果将强制全面采用HTTPS连接,目前国内能全站支持HTTPS的网络公司基本没有,或者少之又少,但是对于这样的发展趋势,我们不得不重视。对于开发者来说,开发安全的APP更是体现我们对用户负责的态度。
官方文档对HTTPS验证也有详细的说明。这里我们就说一下使用NSURLConnection和NSURLSession建立HTTPS连接以及AFNetworking对HTTPS的支持及使用方法。
一、NSURLConnection
首先,创建连接对象
-(void)touchesBegan:(NSSet*)touches withEvent:(UIEvent *)event
{
//1,URL
NSURL* url = [NSURL URLWithString:@"https://m.baidu.com"];
//2,请求
NSURLRequest* request = [NSURLRequest requestWithURL:url];
//3,链接
NSURLConnection* connection = [[NSURLConnection alloc]initWithRequest:request delegate:self];
//开始
[connection start];
}
然后设置代理方法,进行进行连接请求
//#pragma mark- NSURLConnectionDataDelegate
//收到安全警告时候调用
- (void)connection:(NSURLConnection *)connection willSendRequestForAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge
{
//验证方式一:
//1.判断是否信任服务器
if ([challenge.protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust]) {
//2.获取到受保护空间里面的证书
NSURLCredential *credential = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];
//3.告诉服务器我信任你,我们建立安全通道
[challenge.sender useCredential:credential forAuthenticationChallenge:challenge];
} else {
//5)验证失败,取消这次验证流程
[challenge.sender cancelAuthenticationChallenge:challenge];
}
//验证方式二:
//1)获取trust object
SecTrustRef trust = challenge.protectionSpace.serverTrust;
SecTrustResultType result;
//2)SecTrustEvaluate对trust进行验证
OSStatus status = SecTrustEvaluate(trust, &result);
if (status == errSecSuccess &&
(result == kSecTrustResultProceed ||
result == kSecTrustResultUnspecified)) {
//3)验证成功,生成NSURLCredential凭证cred,告知challenge的sender使用这个凭证来继续连接
NSURLCredential *cred = [NSURLCredential credentialForTrust:trust];
[challenge.sender useCredential:cred forAuthenticationChallenge:challenge];
} else {
//5)验证失败,取消这次验证流程
[challenge.sender cancelAuthenticationChallenge:challenge];
}
}
最后处理连接数据,监控连接过程:
//初始化
- (void)connection:(NSURLConnection *)connection didReceiveResponse:(NSURLResponse *)response
{
self.dataM = [NSMutableData data];
}
//接收数据
- (void)connection:(NSURLConnection *)connection didReceiveData:(NSData *)data
{
[self.dataM appendData:data];
}
//错误信息
- (void)connection:(NSURLConnection *)connection didFailWithError:(NSError *)error
{
NSLog(@"error---%@",[error localizedDescription]);
}
//输出结果
- (void)connectionDidFinishLoading:(NSURLConnection *)connection
{
NSLog(@"%@",[[NSString alloc]initWithData:self.dataM encoding:NSUTF8StringEncoding]);
}
上面是代码是通过系统默认验证流程来验证证书的。假如我们是自建证书的呢?这样Trust Object里面服务器的证书因为不是可信任的CA签发的,所以直接使用SecTrustEvaluate进行验证是不会成功。又或者,即使服务器返回的证书是信任CA签发的,又如何确定这证书就是我们想要的特定证书?这就需要先在本地导入证书,设置成需要参与验证的Anchor Certificate(锚点证书,通过SecTrustSetAnchorCertificates设置了参与校验锚点证书之后,假如验证的数字证书是这个锚点证书的子节点,即验证的数字证书是由锚点证书对应CA或子CA签发的,或是该证书本身,则信任该证书),再调用SecTrustEvaluate来验证。代码如下
//先导入证书
NSString * cerPath = ...; //证书的路径
NSData * cerData = [NSData dataWithContentsOfFile:cerPath];
SecCertificateRef certificate = SecCertificateCreateWithData(NULL, (__bridge CFDataRef)(cerData));
self.trustedCertificates = @[CFBridgingRelease(certificate)];
//回调
- (void)connection:(NSURLConnection *)connection willSendRequestForAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge {
//1)获取trust object
SecTrustRef trust = challenge.protectionSpace.serverTrust;
SecTrustResultType result;
//注意:这里将之前导入的证书设置成下面验证的Trust Object的anchor certificate
SecTrustSetAnchorCertificates(trust, (__bridge CFArrayRef)self.trustedCertificates);
//2)SecTrustEvaluate会查找前面SecTrustSetAnchorCertificates设置的证书或者系统默认提供的证书,对trust进行验证
OSStatus status = SecTrustEvaluate(trust, &result);
if (status == errSecSuccess &&
(result == kSecTrustResultProceed ||
result == kSecTrustResultUnspecified)) {
//3)验证成功,生成NSURLCredential凭证cred,告知challenge的sender使用这个凭证来继续连接
NSURLCredential *cred = [NSURLCredential credentialForTrust:trust];
[challenge.sender useCredential:cred forAuthenticationChallenge:challenge];
} else {
//5)验证失败,取消这次验证流程
[challenge.sender cancelAuthenticationChallenge:challenge];
}
}
二、NSURLSession
首先创建session对象并进行懒加载
-(NSURLSession *)session
{
if (!_session)
{
NSURLSessionConfiguration* config = [NSURLSessionConfiguration defaultSessionConfiguration];
_session = [NSURLSession sessionWithConfiguration:config delegate:self delegateQueue:nil];
}
return _session;
}
然后创建连接对象
-(void)touchesBegan:(NSSet*)touches withEvent:(UIEvent *)event
{
//1,URL
NSURL* url = [NSURL URLWithString:@"https://m.baidu.com"];
//2,链接
[[self.session dataTaskWithURL:url completionHandler:^(NSData * _Nullable data, NSURLResponse * _Nullable response, NSError * _Nullable error) {
if (!error && data.length > 0)
{
NSString* result = [[NSString alloc]initWithData:data encoding:NSUTF8StringEncoding];
NSLog(@"%@",result);
}
else
{
NSLog(@"error---%@",[error localizedDescription]);
}
}] resume];
}
最后监控连接,进行判断
#pragma mark - NSURLSessionDelegate
- (void)URLSession:(NSURLSession *)session task:(NSURLSessionTask *)task
didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge
completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition disposition, NSURLCredential * __nullable credential))completionHandler
{
//1.判断是否信任服务器
if ([challenge.protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust]) {
//2.获取到受保护空间里面的证书
NSURLCredential *credential = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];
//3.告诉服务器我信任你,我们建立安全通道
[challenge.sender useCredential:credential forAuthenticationChallenge:challenge];
}
}
三、AFNetworking配置
NSURL * url = [NSURL URLWithString:@"https://m.baidu.com"];
AFHTTPRequestOperationManager * requestOperationManager = [[AFHTTPRequestOperationManager alloc] initWithBaseURL:url];
dispatch_queue_t requestQueue = dispatch_create_serial_queue_for_name("kRequestCompletionQueue");
requestOperationManager.completionQueue = requestQueue;
AFSecurityPolicy * securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];
//allowInvalidCertificates 是否允许无效证书(也就是自建的证书),默认为NO
//如果是需要验证自建证书,需要设置为YES
securityPolicy.allowInvalidCertificates = YES;
//validatesDomainName 是否需要验证域名,默认为YES;
//假如证书的域名与你请求的域名不一致,需把该项设置为NO;如设成NO的话,即服务器使用其他可信任机构颁发的证书,也可以建立连接,这个非常危险,建议打开。
//置为NO,主要用于这种情况:客户端请求的是子域名,而证书上的是另外一个域名。因为SSL证书上的域名是独立的,假如证书上注册的域名是www.google.com,那么mail.google.com是无法验证通过的;当然,有钱可以注册通配符的域名*.google.com,但这个还是比较贵的。
//如置为NO,建议自己添加对应域名的校验逻辑。
securityPolicy.validatesDomainName = YES;
//validatesCertificateChain 是否验证整个证书链,默认为YES
//设置为YES,会将服务器返回的Trust Object上的证书链与本地导入的证书进行对比,这就意味着,假如你的证书链是这样的:
//GeoTrust Global CA
// Google Internet Authority G2
// *.google.com
//那么,除了导入*.google.com之外,还需要导入证书链上所有的CA证书(GeoTrust Global CA, Google Internet Authority G2);
//如是自建证书的时候,可以设置为YES,增强安全性;假如是信任的CA所签发的证书,则建议关闭该验证,因为整个证书链一一比对是完全没有必要(请查看源代码);
securityPolicy.validatesCertificateChain = NO;
requestOperationManager.securityPolicy = securityPolicy;
对于更多详细的了解和使用可以建议大家参考一下Jamin's blog,感谢前辈的分享,让开发更高效。
