大家好,小弟最近在IOS端遇到一个问题一直没能解决,因为我才出来没多久,所以困扰了很久,希望能得到大家的帮助。
问题是这样的,根据客户的需要,APP端在跟后台通信的时候需要做证书的效验以保证通信的安全。我们的证书是从CA机构买的,因为我是用的是AFNetworking框架,然后我就根据一些资料和文档写。
1.我先是把后台给我的证书(.cer格式的)拖到了我的工程目录里面。server.cer是正确的证书,为了验证,我自建了一个假的证书:thesis_client.cer
2.一开始我使用的是AFHTTPRequestOperationManager,然后根据查阅的一些资料上完成了代码,给AFHTTPRequestOperationManager设置了AFSecurityPolicy属性,代码如下:
这个时候我遇到了第一个问题:
问题1:我查看了一下AFNetworking的源码,发现,当开始一个正常的验证流程的时候是会执行AFN的一个方法:evaluateServerTrust
但是打断点走下来发现程序没有执行到这个方法,所以如果一开始我导入到工程里面的是自建的假的thesis_client.cer证书也可以访问到我的后台,也能拿到数据,但是调试下来发现,如果我程序开着过个一段时间(大约15到20分钟左右)再次发送网络请求的时候,这时候AFN的走了验证方法evaluateServerTrust,这是我遇到的第一个问题。
3.因为这样肯定不是想要的结果,所以我就重新尝试其他的方法,就不用AFHTTPRequestOperationManager,换成了AFHTTPSessionManager,也对他进行了同样的AFSecurityPolicy设置,代码跟设置AFHTTPRequestOperationManager是一样的,这次发现,当我第一次与我们的后台建立链接的时候就走到了AFN的验证方法evaluateServerTrust。而且也能有正确的结果,就是正确的证书server.cer通过了验证而 thesis_client. cer没有通过验证。
但是这个时候我又遇到了两个问题:
a.我发现只有在第一次与后台建立链接的时候才会进行验证,后面的请求就都不进行验证了
b.在测试的发现,上面的代码在IOS7和IOS9上是可行的(先不管是否只有第一次的进行验证),至少每次第一次请求的时候都会进行验证,但是在IOS8下,却没有走AFN的验证方法evaluateServerTrust,所以在IOS8下使用假证书thesis_client.cer也可以访问到后台。
4.后来我想AFHTTPSessionManager也是使用的NSURLSession,我干脆直接用NSURLSession写个demo试试看,我看了一下NSURLSession的文档,看见了他的didReceiveChallenge方法
因为我是个新手很多东西都不是很理解,就觉得大致的意思就是,当收到验证要求的时候就会走NSURLSession的这个代理,下面描述的第二项,说当第一次与远程服务器建立链接的认证证书,不知道这个是不是就是我上面遇到的问题,IOS9和IOS7下只有第一次走认证方法,之后的请求都没有走的原因,还希望大家点播我一下。
然后我就开始写demo了
测试了一下发现,果然和上面遇到的情况一下,IOS9和IOS7下走了NSURLSession的代理didReceiveChallenge,在IOS8下没有走。然后我就更加疑惑了,不知道那里出问题了。
后来我发现了两个情况出现了:
a.上面我自己写的NSURLSession请求的地@"https://gis.map2bit.com/mobile/getMyProject"就是我们自己后台的地址,后来我把这个地址改掉了,改成github的官网地址
发现在IOS8下走到了didReceiveChallenge的代理里面了,后来我又尝试https://baidu.com和Adobe的官网,发现都是可以正常走到didReceiveChallenge这个代理,唯独我们自己的后台不行,这个时候我就在想是不是后台的原因。。。。
b. 后来我打算先看看我们的后台地址是不是跟github、百度他们的有什么不一样的地方,我就用Charles试了试,在试的过程并没有发现有什么不一样的地方,但是发现一个问题,我用Charles针对我们后台的地址设置了SSL Proxying来截取SSL请求,发现在IOS8下能走到didReceiveChallenge这个代理