Alamofire和AFNetworking中https相关知识点

首先,配置https服务器需要一个证书,这个证书可以从某些机构获得,也可以自己通过工具生成。

通过某些合法机构生成的证书客户端不需要进行验证

这样的请求不会触发Apple的相关代理方法
(URLSession:task:didReceiveChallenge:completionHandler:)
所以无论是AFNetWorking还是Alamofire都不需要进行任何处理,即可正常使用

非合法机构生成的证书或者自制证书

  • AFNetWorking

    AFSecurityPolicy分三种验证模式:

    1. AFSSLPinningModeNone:代表客户端无条件地信任服务器端返回的证书。你不必将证书跟你的 APP 一起打包。
    2. AFSSLPinningModeCertificate:代表客户端会将服务器端返回的证书和本地保存的证书中的【所有内容】,全部进行校验;如果正确,才继续进行。
    3. AFSSLPinningModePublicKey:代表客户端会将服务器端返回的证书与本地保存的证书中的【PublicKey部分】进行校验;如果正确,才继续进行。
    注: AFSSLPinningModeCertificate和AFSSLPinningModePublicKey的区别
    • AFSSLPinningModeCertificate 比较安全但也比较麻烦,它会比对你打包的证书跟服务器的证书是否一致。因为你的证书是跟 APP 一起打包的,这也就代表说如果你的证书过期了或是变动了,你就得出一版新的 APP 而且旧版 APP 的证书就失效了。你也可以在每次 APP 启动时,就自动连到某個服务器下载最新的证书,不过此时这个下载连线就会是有风险的。

    • AFSSLPinningModePublicKey 则是只比对证书里的 public key,所以即使服务器证书有所变动,只要 public key 不变,就能通过验证。

    • 所以如果你能确保每个使用者总是使用最新版本的 APP(例如是公司企业内部专用的),那就可以考虑AFSSLPinningModeCertificate,否則的话选择 AFSSLPinningModePublicKey 是比较实际的作法。

    相关属性解释及代码例子
    • 属性解释
     AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];
    
    /*
     allowInvalidCertificates 是否允许无效证书(也就是自建的证书),默认为NO
     如果是需要验证自建证书,需要设置为YES
     */
    securityPolicy.allowInvalidCertificates = YES;
    
    /*
     validatesDomainName 是否需要验证域名,默认为YES。
     假如证书的域名与你请求的域名不一致,需把该项设置为NO
     主要用于这种情况:客户端请求的是子域名,而证书上的  是另外一个域名。因为SSL证书上的域名是独立的,假如证书上注册的域名是www.google.com,那么mail.google.com是无法验证通过的;当然,有钱可以注册通配符的域名*.google.com,但这个还是比较贵的。
     */
    securityPolicy.validatesDomainName = NO;
    
    /*
     validatesCertificateChain 是否验证整个证书链,默认为YES
     设置为YES,会将服务器返回的Trust Object上的证书链与本地导入的证书进行对比,这就意味着,假如你的证书链是这样的:
     GeoTrust Global CA 
     Google Internet Authority G2
     *.google.com
     那么,除了导入*.google.com之外,还需要导入证书链上所有的CA证书(GeoTrust Global CA, Google Internet Authority G2);
     如是自建证书的时候,可以设置为YES,增强安全性;假如是信任的CA所签发的证书,则建议关闭该验证;
     */
    securityPolicy.validatesCertificateChain = NO;
    
    • 完整代码
    AFHTTPSessionManager *manager = [AFHTTPSessionManager manager];
    
    /*
    创建AFSecurityPolicy有两种方式。
    第一种方式是让AFN在Bundle里面自动寻找并尝试匹配。
    第二种方式是直接指定证书的位置
     */
    AFSecurityPolicy *securityPolicy = [[AFSecurityPolicy alloc] init]; 
    [securityPolicy setAllowInvalidCertificates:NO]; 
    [securityPolicy setSSLPinningMode:AFSSLPinningModeCertificate]; 
    [securityPolicy setValidatesDomainName:YES];
    [securityPolicy setValidatesCertificateChain:NO]; 
    
    NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"name" ofType:@"cer"];
    NSData *certData  = [NSData dataWithContentsOfFile:cerPath];
    AFSecurityPolicy *securityPolicy = [[AFSecurityPolicy alloc] init];
    [securityPolicy setAllowInvalidCertificates:NO];
    [securityPolicy setPinnedCertificates:@[certData]];
    [securityPolicy setSSLPinningMode:AFSSLPinningModeCertificate];
    [securityPolicy setValidatesDomainName:YES];
    [securityPolicy setValidatesCertificateChain:NO];
    
    manager.securityPolicy = securityPolicy;
    
    
  • Alamofire

    ServerTrustPolicy分六种验证方式

    1.performDefaultEvaluation

    默认的策略,只有合法证书才能通过验证

    2.performRevokedEvaluation

    对注销证书做的一种额外设置,不是很明白这里,有兴趣的朋友可以最近查一下。

    3.pinCertificates

    代表客户端会将服务器端返回的证书和本地保存的证书中的【所有内容】,全部进行校验;如果正确,才继续进行。

    4.pinPublicKeys

    代表客户端会将服务器端返回的证书与本地保存的证书中的【PublicKey部分】进行校验;如果正确,才继续进行。

    5.disableEvaluation

    该选项下,验证一直都是通过的,也就是说无条件信任

    6.customEvaluation

    自定义验证,需要返回一个布尔类型的结果

    注: pinPublicKeys和pinCertificates的区别可以参考上面AFN的介绍。
    相关参数的介绍
    • certificates
      证书文件。ServerTrustPolicy.certificates()方法会在bundle中自动搜索证书相关文件的后缀文件。
    • validateCertificateChain
      是否验证证书链
    • validateHost
      是否验证域名地址。
    完整代码

    这里最好是封装一个SessionManger的单例进行统一处理。Swift的https验证策略,支持一次对多个域名进行设置。

    let serverTrustPolicies: [String: ServerTrustPolicy] = [
            "test.example.com": .pinCertificates(
                certificates: ServerTrustPolicy.certificates(),
                validateCertificateChain: true,
                validateHost: true
            ),
            "insecure.expired-apis.com": .disableEvaluation
        ]
    let manger = SessionManager(serverTrustPolicyManager: ServerTrustPolicyManager(policies: serverTrustPolicies))
    
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,839评论 6 482
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,543评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 153,116评论 0 344
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,371评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,384评论 5 374
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,111评论 1 285
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,416评论 3 400
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,053评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,558评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,007评论 2 325
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,117评论 1 334
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,756评论 4 324
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,324评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,315评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,539评论 1 262
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,578评论 2 355
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,877评论 2 345

推荐阅读更多精彩内容