原创作者: 那夜的星空分外清澈
版权声明: 本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/u011374318/article/details/79302085
在 AFNetworking 框架中,可以使用 AFSecurityPolicy 类来设置 SSL 安全连接时的校验策略。在客户端应用中添加遵循 X.509 标准的数字证书,
并在与服务器建立安全连接时校验服务器传递的安全信息,这种方式可以有效避免中间人攻击等风险。
AFSecurityPolicy 的校验选项 AFSSLPinningMode 有三种:
AFSSLPinningModeNone 代表客户端无条件地信任服务器端返回的证书。(默认)
AFSSLPinningModePublicKey 代表客户端会将服务器端返回的证书与本地保存的证书中的PublicKey部分进行校验;如果正确,才继续进行。
AFSSLPinningModeCertificate 代表客户端会将服务器端返回的证书和本地保存的证书中的所有内容,包括PublicKey和证书部分,全部进行校验;如果正确,才继续进行
属性
SSLPinningMode AFSSLPinningMode 校验策略
pinnedCertificates NSSet <NSData *> 本地证书
pinnedPublicKeys NSSet 本地证书所包含的公钥
allowInvalidCertificates BOOL 是否信任证书是无效或过期的服务器,默认值为 NO
validatesDomainName BOOL 是否校验证书中 CN 字段中的域名,默认值为 YES
方法
创建默认的安全策略
+ (instancetype)defaultPolicy;
在这个方法中,将 SSLPinningMode 的值设置为 AFSSLPinningModeNone 。
创建指定校验模式的安全策略
+ (instancetype)policyWithPinningMode:(AFSSLPinningMode)pinningMode {
return [self policyWithPinningMode:pinningMode withPinnedCertificates:[self defaultPinnedCertificates]];
}
这个类的方法,实际是调用了下面的方法返回一个策略,只是其所提供参数,表示的是默认当前类名包下的所有证书,
如果没有名为 AFSecurityPolicy 的包,那么则没有本地证书以供校验时使用。
创建指定校验模式和证书的安全策略
+ (instancetype)policyWithPinningMode:(AFSSLPinningMode)pinningMode withPinnedCertificates:(NSSet *)pinnedCertificates;
这个方法,完全由调用者自己提供校验选项和证书数据。
获取指定包中的证书数据
+ (NSSet <NSData *> *)certificatesInBundle:(NSBundle *)bundle;
该方法可以很方便的获取指定包 bundle 中的证书数据,结合上一个方法,则创建安全策略实例对象十分方便。
校验服务器传递的安全信息
- (BOOL)evaluateServerTrust:(SecTrustRef)serverTrust forDomain:(nullable NSString *)domain;
这个方法会根据当前策略来判断接收的服务器的安全信息是否有效,域名参数 domain 如果未传递,则不对其进行校验。如果要校验自签名证书的域名,那么本地应包含该证书并且校验策略不能是 AFSSLPinningModeNone 选项。
NSMutableArray *policies = [NSMutableArray array];
if (self.validatesDomainName) {
[policies addObject:(__bridge_transfer id)SecPolicyCreateSSL(true, (__bridge CFStringRef)domain)];
} else {
[policies addObject:(__bridge_transfer id)SecPolicyCreateBasicX509()];
}
SecTrustSetPolicies(serverTrust, (__bridge CFArrayRef)policies);
从上面的源代码可知,如果不对域名进行校验,便会创建 X.509 标准的默认校验策略,而后,将策略与服务器传递的安全信息 serverTrust 相关联。
接着执行下面的代码:
if (self.SSLPinningMode == AFSSLPinningModeNone) {
return self.allowInvalidCertificates || AFServerTrustIsValid(serverTrust);
} else if (!AFServerTrustIsValid(serverTrust) && !self.allowInvalidCertificates) {
return NO;
}
这里有点绕,如果策略选项为 AFSSLPinningModeNone ,那么分了两种情况,一种是,若 allowInvalidCertificates 属性值为 YES ,
即客户端信任无效或过期的证书(可能是自签名证书),那么,客户端则认为服务器是可信的。
另一种,则是调用 AFServerTrustIsValid 函数校验服务器传递的安全信息 serverTrust 是否是有效的。
如果策略选项不是 AFSSLPinningModeNone 并且 AFServerTrustIsValid 校验未通过,而客户端也不信任无效或过期的证书,那么则认为所连接的服务器不可信。
再接着往下校验,则是对 AFSSLPinningModeCertificate 和 AFSSLPinningModePublicKey 选项的分别处理,前者比较的是安全信息中的证书和本地的证书是否相同,
而后者则是对证书中的公钥进行比较。
在 AFSSLPinningModeCertificate 选项下,先调用 SecCertificateCreateWithData 函数将 pinnedCertificates 属性中的所有的本地证书数据转化为证书变量,
而后使用 SecTrustSetAnchorCertificates 函数将这些变量设置为校验服务器安全信息 serverTrust 的锚证书。
当确定 serverTrust 信息本身是有效的后,再调用 AFCertificateTrustChainForServerTrust 函数获取其所包含的所有证书 serverCertificates ,这个证书数组,第一个为子证书,最后一个可能是根证书(当然也可能不是),这样,再判断本地的所有证书 pinnedCertificates 中是否包含了 serverCertificates 中的一个证书。判断过程是从数组最后一个元素开始的,即从父证书开始判断。只要包含一个证书,那么就认为所连接的服务器是可以信任的。
在 AFSSLPinningModePublicKey 选项下,先调用 AFPublicKeyTrustChainForServerTrust 函数获取 serverTrust 中所含证书的所有公钥,而后,遍历这些公钥,如果有一个公钥在 pinnedPublicKeys 属性中的所有公钥中,那么就认为服务器是可信的。
具体的源代码如下:
- (BOOL)evaluateServerTrust:(SecTrustRef)serverTrust
forDomain:(NSString *)domain
{
if (domain && self.allowInvalidCertificates && self.validatesDomainName && (self.SSLPinningMode == AFSSLPinningModeNone || [self.pinnedCertificates count] == 0)) {
// https://developer.apple.com/library/mac/documentation/NetworkingInternet/Conceptual/NetworkingTopics/Articles/OverridingSSLChainValidationCorrectly.html
// According to the docs, you should only trust your provided certs for evaluation.
// Pinned certificates are added to the trust. Without pinned certificates,
// there is nothing to evaluate against.
//
// From Apple Docs:
// "Do not implicitly trust self-signed certificates as anchors (kSecTrustOptionImplicitAnchors).
// Instead, add your own (self-signed) CA certificate to the list of trusted anchors."
NSLog(@"In order to validate a domain name for self signed certificates, you MUST use pinning.");
return NO;
}
NSMutableArray *policies = [NSMutableArray array];
if (self.validatesDomainName) {
[policies addObject:(__bridge_transfer id)SecPolicyCreateSSL(true, (__bridge CFStringRef)domain)];
} else {
[policies addObject:(__bridge_transfer id)SecPolicyCreateBasicX509()];
}
SecTrustSetPolicies(serverTrust, (__bridge CFArrayRef)policies);
if (self.SSLPinningMode == AFSSLPinningModeNone) {
return self.allowInvalidCertificates || AFServerTrustIsValid(serverTrust);
} else if (!AFServerTrustIsValid(serverTrust) && !self.allowInvalidCertificates) {
return NO;
}
switch (self.SSLPinningMode) {
case AFSSLPinningModeNone:
default:
return NO;
case AFSSLPinningModeCertificate: {
NSMutableArray *pinnedCertificates = [NSMutableArray array];
for (NSData *certificateData in self.pinnedCertificates) {
[pinnedCertificates addObject:(__bridge_transfer id)SecCertificateCreateWithData(NULL, (__bridge CFDataRef)certificateData)];
}
SecTrustSetAnchorCertificates(serverTrust, (__bridge CFArrayRef)pinnedCertificates);
if (!AFServerTrustIsValid(serverTrust)) {
return NO;
}
// obtain the chain after being validated, which *should* contain the pinned certificate in the last position (if it's the Root CA)
NSArray *serverCertificates = AFCertificateTrustChainForServerTrust(serverTrust);
for (NSData *trustChainCertificate in [serverCertificates reverseObjectEnumerator]) {
if ([self.pinnedCertificates containsObject:trustChainCertificate]) {
return YES;
}
}
return NO;
}
case AFSSLPinningModePublicKey: {
NSUInteger trustedPublicKeyCount = 0;
NSArray *publicKeys = AFPublicKeyTrustChainForServerTrust(serverTrust);
for (id trustChainPublicKey in publicKeys) {
for (id pinnedPublicKey in self.pinnedPublicKeys) {
if (AFSecKeyIsEqualToKey((__bridge SecKeyRef)trustChainPublicKey, (__bridge SecKeyRef)pinnedPublicKey)) {
trustedPublicKeyCount += 1;
}
}
}
return trustedPublicKeyCount > 0;
}
}
return NO;
}
作者:那夜的星空分外清澈
来源:CSDN
原文:https://blog.csdn.net/u011374318/article/details/79364995
版权声明:本文为博主原创文章,转载请附上博文链接!
🌰:
AFHTTPRequestOperationManager *manager = [AFHTTPRequestOperationManager manager];
NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"https" ofType:@"cer"];
NSData *certData = [NSData dataWithContentsOfFile:cerPath];
AFSecurityPolicy *securityPolicy = [[AFSecurityPolicy alloc] init];
[securityPolicy setAllowInvalidCertificates:NO];
[securityPolicy setPinnedCertificates:@[certData]];
[securityPolicy setSSLPinningMode:AFSSLPinningModeCertificate];
[securityPolicy setValidatesDomainName:YES];
manager.securityPolicy = securityPolicy;
AFHTTPRequestOperationManager *manager = [AFHTTPRequestOperationManager manager];
AFSecurityPolicy *securityPolicy = [[AFSecurityPolicy alloc] init];
[securityPolicy setAllowInvalidCertificates:NO];
[securityPolicy setSSLPinningMode:AFSSLPinningModeCertificate];
[securityPolicy setValidatesDomainName:YES];
[securityPolicy setValidatesCertificateChain:NO];
manager.securityPolicy = securityPolicy;