HTTPS从原理到应用(四):iOS中HTTPS实际使用

前三篇加密和哈希数字签名和数字证书HTTPS的核心SSL/TLS协议已经把相关原理说完了,具体理解还要和实际使用结合起来。本人从事iOS开发,这里主要讲述在iOS中的应用。而在iOS中大部分网络请求都是使用的AFNetworking这个第三方库,而它又是基于NSURLSession的封装,所以此文也会从这两个方面进行讲解。由于NSURLConnection基本已经无人使用,这个就不在提了,大致使用和NSURLSession类似。

此篇文章的逻辑图

图0-0 此篇文章的逻辑图

概述

无论是AFNetworking还是NSURLSession,整个HTTPS协议的传输,都要经过上文中提到的SSL/TLS的握手阶段。创建一个请求,开始请求的时候,开始第一个阶段Client Hello,然后服务端Server Hello阶段回应客户端,会到调用到NSURLSessionDelegate的两个方法,而客户端在代理方法中处理SSL/TLS的第三个阶段最后客户端回应服务端,然后服务端在验证,从建立起SSL/TLS的连接。而这四个过程中,服务端程序员主要操作对应第二步,客户端程序员主要操作对应第三步,而第三步里面主要操作的就是验证证书。其他的一些,像产生随机数等,并不需要程序员操作,相关底层都已经封装好了。根这过程下面分别介绍NSURLSessionAFNetworking是如何支持HTTPS的。

NSURLSession支持HTTPS

更正:证书在系统默认信任列表中,则可以直接按HTTP方式请求,一般不需要再写下面的验证代码。

证书在系统默认信任列表中和不在列表中(自建证书)的验证方式不同,下面分别叙述。

证书在系统默认信任列表中的验证

// 创建一个HTTPS请求,这步包括了SSL/TLS握手协议的第一步Client Hello
NSURL *url = [NSURL URLWithString:@"https://www.baidu.com"];
NSURLRequest *request = [NSURLRequest requestWithURL:url];
NSURLSession *session = [NSURLSession sessionWithConfiguration:[NSURLSessionConfiguration defaultSessionConfiguration] delegate:self delegateQueue:[NSOperationQueue mainQueue]];
NSURLSessionDataTask *task = [session dataTaskWithRequest:request];
[task resume];

NSURLSession对证书的认证有两个代理方法,Server Hello阶段后会来到这两个代理方法中的其中一个,SSL/TLS第三个阶段主要就在这儿实现。下面以其中一个会话级别的回调为例说明。

// 会话级别的回调
- (void)URLSession:(NSURLSession *)session 
didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge
completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition disposition, NSURLCredential * __nullable credential))completionHandler

// 任务级别的回调
- (void)URLSession:(NSURLSession *)session
task:(NSURLSessionTask *)task
didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge
completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition disposition, NSURLCredential * __nullable credential))completionHandler

两个代理方法的区别就是第二个回调多了一个task,
如果同时实现两个代理方法,则有回调优先级别更高的会话代理方法。
- (void)URLSession:(NSURLSession *)session 
didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge
completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition disposition, NSURLCredential * __nullable credential))completionHandler {

 NSURLSessionAuthChallengeDisposition disposition = NSURLSessionAuthChallengePerformDefaultHandling;
    __block NSURLCredential *credential = nil;
    
    // 1. 先判断服务器采用的认证方法是否为NSURLAuthenticationMethodServerTrust,ServerTrust是比较常用的,当然还有其他的认证方法。
    if ([challenge.protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust]) {
        
        // 2. 获取需要验证的信任对象,并采用系统默认验证方式SecTrustEvaluate进行验证,其中验证的API在Security库中
        SecTrustRef trust = challenge.protectionSpace.serverTrust;
        SecTrustResultType result;
        OSStatus status = SecTrustEvaluate(trust, &result);
        
        if (status == errSecSuccess && (result == kSecTrustResultProceed || result == kSecTrustResultUnspecified)) {
            // 3. 验证成功,根据服务器返回的受保护空间中的信任对象,创建一个挑战凭证,并且挑战方式为使用凭证挑战
            credential = [NSURLCredential credentialForTrust:trust];
            disposition = NSURLSessionAuthChallengeUseCredential;
            
        } else {
            // 3. 验证失败,取消本次挑战认证
            disposition = NSURLSessionAuthChallengeCancelAuthenticationChallenge;
        }
    } else {
        // 1. 如果服务器采用的认证方法不是ServerTrust,可判断是否为其他认证,如何NSURLAuthenticationMethodHTTPDigest,等等,这里我没有判断,直接处理为系统默认处理。
        disposition = NSURLSessionAuthChallengePerformDefaultHandling;
    }

    // 4. 无论结果如何,都要回到给服务端
    completionHandler(disposition, credential);
}

自建证书的验证

由于自建证书并没有在系统默认的证书信任列表中,如果使用默认验证方法是不会通过的,这时候就要App提前置入证书。
更新:但是如果ATSAllow Arbitrary Loads配置为NO,则无法通过验证。(2016-12-22)

// 先导入证书
// 证书的路径
NSString *cerPath = ...;
NSData *cerData = [NSData dataWithContentsOfFile:cerPath];
SecCertificateRef certificate = SecCertificateCreateWithData(NULL, (__bridge CFDataRef)(cerData));
// 自建信任证书列表
self.trustedCertificates = @[CFBridgingRelease(certificate)];

- (void)URLSession:(NSURLSession *)session
didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge
completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition disposition, NSURLCredential * __nullable credential))completionHandler {
    
    NSURLSessionAuthChallengeDisposition disposition = NSURLSessionAuthChallengePerformDefaultHandling;
    __block NSURLCredential *credential = nil;
    
    // 1. 先判断服务器采用的认证方法是否为NSURLAuthenticationMethodServerTrust,ServerTrust是比较常用的,当然还有其他的认证方法。
    if ([challenge.protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust]) {
        
        // 2. 获取需要验证的信任对象,并设置信任对象要验证的证书为之前导入的证书,在SecTrustEvaluate进行验证,其中验证的API在Security库中
        SecTrustRef trust = challenge.protectionSpace.serverTrust;
        SecTrustSetAnchorCertificates(trust, (__bridge CFArrayRef)self.trustedCertificates);
        SecTrustResultType result;
        OSStatus status = SecTrustEvaluate(trust, &result);
        
        if (status == errSecSuccess && (result == kSecTrustResultProceed || result == kSecTrustResultUnspecified)) {
            // 3. 验证成功,根据服务器返回的受保护空间中的信任对象,创建一个挑战凭证,并且挑战方式为使用凭证挑战
            credential = [NSURLCredential credentialForTrust:trust];
            disposition = NSURLSessionAuthChallengeUseCredential;
            
        } else {
            // 3. 验证失败,取消本次挑战认证
            disposition = NSURLSessionAuthChallengeCancelAuthenticationChallenge;
        }
    } else {
        // 1. 如果服务器采用的认证方法不是ServerTrust,可判断是否为其他认证,如何NSURLAuthenticationMethodHTTPDigest,等等,这里我没有判断,直接处理为系统默认处理。
        disposition = NSURLSessionAuthChallengePerformDefaultHandling;
    }

    // 4. 无论结果如何,都要回到给服务端
    completionHandler(disposition, credential);
}

AFNetworking支持HTTPS

概述

AFNetworking支持HTTPS相关的类为AFSecurityPolicy,其中AFNetworking提供了三种验证方式:

typedef NS_ENUM(NSUInteger, AFSSLPinningMode) { 
  AFSSLPinningModeNone,        // 是默认的认证方式,只会在系统的信任的证书列表中对服务端返回的证书进行验证
  AFSSLPinningModePublicKey,   // 需要预先保存服务端发送的证书(自建证书),但是这里只会验证证书中的公钥是否正确
  AFSSLPinningModeCertificate, // 需要客户端预先保存服务端的证书(自建证书)
};
// AFSecurityPolicy相关属性

// 验证方式,对应上面的三种验证方式
@property (readonly, nonatomic, assign) AFSSLPinningMode SSLPinningMode;
// 自建证书的时候,提供相应的证书
@property (nonatomic, strong, nullable) NSSet <NSData *> *pinnedCertificates;
// 是否允许自建证书
@property (nonatomic, assign) BOOL allowInvalidCertificates;
// 是否需要验证域名
@property (nonatomic, assign) BOOL validatesDomainName;

--------------------------------------

// AFSecurityPolicy相关方法

// 验证逻辑,这个方法在AFURLSessionManager这个类中,实现的NSURLSession的两个代理方法中调用。
// 具体验证逻辑,大家可读AFNetworking源码
- (BOOL)evaluateServerTrust:(SecTrustRef)serverTrust
                  forDomain:(nullable NSString *)domain;

实际运用


AFHTTPSessionManager *manager = [AFHTTPSessionManager manager];
AFSecurityPolicy *policy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];
policy.allowInvalidCertificates = YES;
policy.validatesDomainName = YES;
// 证书的路径
NSString *cerPath = ...;
NSData *cerData = [NSData dataWithContentsOfFile:cerPath];
SecCertificateRef certificate = SecCertificateCreateWithData(NULL, (__bridge CFDataRef)(cerData));
policy.pinnedCertificates = [NSSet setWithObject:CFBridgingRelease(certificate)];
manager.securityPolicy = policy;
// 下面使用manager开始请求,由于AFNetworking的高度封装,使用起来及其方便。

总结

关于AFNetworking并没有提及太多,相关部分可读一下源码,看一下此文并没有提到的自建证书公钥验证,其实就是从证书中提取出来公钥。另外也可大致浏览一下Security这个Framework,你会发现不少原理中提到的知识,比如<Security/CipherSuite.h>里面的加密组件,特别是<Security/SecureTransport.h>中定义的OSStatus状态码非常有助于调试,还有SSL/TLS版本,以及文章中从没有提过的X.509标准。到此HTTPS的基本原理和使用交代完毕,读完此系列文章,会对HTTPS有个详细的了解。但是HTTPS也不是绝对安全的,还是会有很多的攻击方法。有时间会再出一篇文章来专门讲解HTTPS的攻防。文章从最基础的讲起,分了四篇来写,也是比较长的;感谢大家耐心看完,对于文章不足之处,敬请包含,也请多提意见,共同进步。

参考

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,723评论 6 481
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,485评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 152,998评论 0 344
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,323评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,355评论 5 374
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,079评论 1 285
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,389评论 3 400
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,019评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,519评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,971评论 2 325
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,100评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,738评论 4 324
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,293评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,289评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,517评论 1 262
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,547评论 2 354
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,834评论 2 345

推荐阅读更多精彩内容