2016年8月7日
网络安全
1 Base64编码
一般情况下,Post表单提交和Get参数提交的情况下,都会暴露用户信息的。采用Base64将字符串转换成较长的字节编码,达到隐藏数据的目的。
iOS7.0之后,系统集成了Base64编码,其步骤为
- 将字符串转换成data
- 对data转换成base64编码,参数传0即可
代码:
//1 带加密字符串
NSString *str = @"hello";
//2 将字符串转换成data
NSData *data = [str dataUsingEncoding:NSUTF8StringEncoding];
//3 加密data--base64--参数0,没什么意义
NSString *baseStr = [data base64EncodedStringWithOptions:0];
NSLog(@"%@",baseStr);
终端命令
//编码 -o表示输出
base64 123.png -o 123.txt
//解码 -D表示解码
base64 123.txt -o 123.png -D
2 MD5散列
3 HTTPS请求
正经八百的Https请求,如果涉及到证书验证等情况,如果设置好挑战后,是不需要设置Info.plist里面的ATS的。
原理:
1 客户端发起链接请求
2 服务器接收到请求后,会生成私钥和公钥。并将公钥、证书信息、加密方式等放在一个受保护空间中发给客户端
3 客户端接收到这个challenge后,服务器验证证书合法性,并处理证书信任
4 如果服务器证书ok,客户端会随机产生一个对称的key,并用服务器发来的公钥加密这个key,连同客户端证书一并发给服务器
5 服务器接收到后,校验客户端证书合法性,如果OK,用服务器私钥加密得到客户端发来的key。
6 服务器将响应数据使用key加密,然后返回给客户端,通讯就正式开始了。
3.1 NSURLSession处理HTTPS请求
在使用NSURLSession来处理https请求的时候,我们只需要对服务器发来的challenge做处理,其他的都有系统为我们处理。拿到challenge后,如果是需要服务器信任操作,我们就需要设置接收并安装服务器证书,设置信任方式为服务器信任。
例如,我们以访问https://12306为例,进行代码说明
viewDidLoad方法体(加载后就开始请求)
-(void)viewDidLoad
{
[super viewDidLoad];
//1 不需要设置ATS
//2 创建URL
NSURL *url = [NSURL URLWithString:@"https://www.12306.cn/mormhweb/"];
//3 创建request
NSURLRequest *request = [NSURLRequest requestWithURL:url];
//4 创建session--代理为控制器,configuration为默认,代理执行队列为主队列
NSURLSession *session = [NSURLSession sessionWithConfiguration:[NSURLSessionConfiguration defaultSessionConfiguration] delegate:self delegateQueue:[NSOperationQueue mainQueue]];
//5 创建数据请求任务--并使用block来处理接收到的数据
NSURLSessionDataTask *task = [session dataTaskWithRequest:request completionHandler:^(NSData * _Nullable data, NSURLResponse * _Nullable response, NSError * _Nullable error) {
NSLog(@"%@",[[NSString alloc]initWithData:data encoding:NSUTF8StringEncoding]);
NSLog(@"error----%@",error);
}];
//6 开始任务
[task resume];
}
设置代理--用来处理服务器发过来的challenge
-(void)URLSession:(NSURLSession *)session didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition, NSURLCredential * _Nullable))completionHandler
{
//如果是服务器证书信任,我们才需要处理
if (challenge.protectionSpace.authenticationMethod == NSURLAuthenticationMethodServerTrust) {
//从challenge的受保护空间中拿到服务器信任,用来创建授权信息--授权可信任
NSURLCredential *cre = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];
//调用block来设置
//--NSURLSessionAuthChallengeUseCredential 枚举类型,表示使用证书
//--cre--刚才创建的授权信息
completionHandler(NSURLSessionAuthChallengeUseCredential,cre);
}
}
3.2 AFNetworking处理HTTPS请求
步骤:
- 添加ATS,在info.plist里面添加属性
- 发送请求之前,修改manager的安全策略
- 发送请求
代码
- (void)viewDidLoad {
[super viewDidLoad];
//1 获取请求地址
NSString *url = @"https://www.12306.cn/mormhweb/";
//2 获取http请求管理器
AFHTTPSessionManager *manager = [AFHTTPSessionManager manager];
//3 设置安全策略--对证书-域名等处理方式
manager.securityPolicy.allowInvalidCertificates = YES;//不管证书是自签名证书还是CA证书都接收
manager.securityPolicy.validatesDomainName = NO;//不去校验域名
//4 设置manager的其他属性
manager.responseSerializer = [AFHTTPResponseSerializer serializer];//--让接收的响应不自动解析,仍然保持Http的二进制数据
manager.responseSerializer.acceptableContentTypes = [NSSet setWithArray:@[@"text/html"]];
//5 发起Get请求
[manager GET:url parameters:nil progress:nil success:^(NSURLSessionDataTask * _Nonnull task, id _Nullable responseObject) {
NSLog(@"success---%@",responseObject);
} failure:^(NSURLSessionDataTask * _Nullable task, NSError * _Nonnull error) {
NSLog(@"error-----%@",error);
}];
}