开发者俱乐部

标题: iOS AFNetworking框架HTTPS请求配置 [打印本页]

---

作者: xman    时间: 2017-4-23 07:46
标题: iOS AFNetworking框架HTTPS请求配置

　　 iOS在Apple公司的强制要求下，数据传输必须按照ATS(App Transefer  Security)条款。关于AFNetworking框架传输HTTPS数据。
　　一.AllowsArbitraryLoads 白名单机制
　　NSAllowsArbitraryLoads是ATS推广过程中的产物，当然也许可持续很久甚至永久，为了访问HTTP服务，一般需要绕过ATS限制，需要配置info.plist文件
　　keyNSAppTransportSecurity/key dict         keyNSAllowsArbitraryLoads/key         true/  /dict  
　　这种机制实际上是允许了所有HTTP  和HTTPS的访问，显然，这种做法实际上很危险。设置为false就能避免绕开ATS，问题是我们真的需要完全关闭这个选项么?
　　比如某些文件服务器，CDN服务器配置HTTPS反而影响传输速度，这种情况下HTTP反而具有很高的优越性。因此，对于这类服务器的HTTP传输，我们其实也可以使用如下方式(设置白名单)，白名单之外的必须使用HTTPS协议。

1. <key>NSAppTransportSecurity</key>
   
2.     <dict>
   
3.         <key>NSExceptionDomains</key>
   
4.         <dict>
   
5.             <key>lib.baidu.com</key>
   
6.             <dict>
   
7.                 <key>NSIncludesSubdomains</key>
   
8.                 <true/>
   
9.             </dict>
   
10.             <key>oss.fastdfs.cn</key>
    
11.             <dict>
    
12.                 <key>NSIncludesSubdomains</key>
    
13.                 <true/>
    
14.             </dict>
    
15.            </dict>
    
16.    </dict>  

复制代码

　　二.免证书验证
　　免证书验证，一般来说是client证书库不会把server传输来的证书进行校验。
　　举个例子

1. AFHTTPSessionManager *manager = [AFHTTPSessionManager manager];
   
2. //允许非权威机构颁发的证书
   
3. manager.securityPolicy.allowInvalidCertificates = YES;
   
4. //也不验证域名一致性
   
5. manager.securityPolicy.validatesDomainName = NO;
   
6. //关闭缓存避免干扰测试
   
7. manager.requestSerializer.cachePolicy = NSURLRequestReloadIgnoringLocalCacheData;
   
8. 
   
9. [manager GET:@"https://www.baidu.com/s?wd=https" parameters:nil progress:nil  
   
10. success:^(NSURLSessionDataTask * _Nonnull task, id  _Nullable responseObject) {
    
11.         NSLog(@"%@",responseObject);
    
12.     } failure:^(NSURLSessionDataTask * _Nullable task, NSError * _Nonnull error) {
    
13.         NSLog(@"%@",error);
    
14. }];  

复制代码

　　这种方式导致我们的app容易遭到中间人攻击，原因并不完全是我们设置了allowInvalidCertificates=YES  和validatesDomainName=NO，而是本地证书库中没有添加server的CA证书，只要是任意的https都能伪造为服务器。
　　因此，我们并不推荐使用这种方式。
　　三.证书验证
　　3.1 加密标准分类
　　证书验证分为2类，一类是单向认证，一类是双认证。
　　此外，我们还需要区分证书与证书库的区别，证书库类型包括PKCS12，JKS，BKS等，其中，PKCS12是互联网标准，可以跨平台跨语言(支持Android，iOS，WP，PC，JAVA，PHP...)，JKS是Java标准，只能在Java平台和Java语言下使用，BKS是  Bouncy  Castle公司的加密标准，作为Android平台支持SSL/TLS加密套件PKCS12的补充，其加密强度很高，但是目前只用于Android平台。证书的定义是保存在证书库中的数字签名信息或者单独的证书文件，如crt，pem，cer等文件。在说加密之前，先来看看自签名证书。
　　3.2 自签名证书 vs 第三方权威机构证书
　　有人可能会有疑问，自签名证书和第三方权威机构的证书的效用是否一样?
　　实际上本人认为完全一样，在互联网中，基于B/S架构的服务中，B端通常导入了第三方权威机构的根证书(ROOT  CA)，实际上就是为了验证网站的CA证书是不是安全的，并且验证是不是由权威的安全机构签发的证书。问题是，我们的App与Server是C/S架构，每个app最多也就只能访问有限的几个网址，我们自己做的app实际上本身就是信任自己的所设置的站点URL的，也就是说我们自己人相信自己人。我们的证书只是为了数据安全传输，不被中间人攻击，因此完全没必要使用(ROOT  CA)，但是具体来说，到目前为止也没人试过这种方式是否可以通过审核。
　　我试图找第三方CA证书机构交流，貌似他只是说这是苹果的规定，实际上自签名证书本质上没什么问题，只要密钥长度，复杂度，加密方式等达到要求即可。
　　因此，苹果如果真的要求必须使用第三方CA  ROOT签名的规则，本身是不合理的。这些问题也没法避免，不过，如果苹果允许自签名证书的话，设置allowInvalidCertificates=YES即可。
　　3.3 单向认证
　　需要准备的文件：服务端证书库 ， 服务端导出的证书
　　单向认证，实际上说的是只有Client端对Server端的证书进行验证，Server不需要验证Client端的证书。
　　自定义类：MyAFNetworking

1. + (AFHTTPSessionManager *)manager;
   
2. {
   
3.     static AFHTTPSessionManager *shareInstance = nil;
   
4.     static dispatch_once_t onceToken;
   
5.     dispatch_once(&onceToken, ^{
   
6. 
   
7.         NSURLSessionConfiguration *configuration = [NSURLSessionConfiguration defaultSessionConfiguration];
   
8.         shareInstance = [[AFHTTPSessionManager alloc] initWithBaseURL:[NSURL URLWithString:BaseHttpURLString] sessionConfiguration:configuration];
   
9.         //设置请求参数的类型:JSON
   
10.         shareInstance.requestSerializer = [AFJSONRequestSerializer serializer];
    
11.         //设置服务器返回结果的类型:JSON (AFJSONResponseSerializer,AFHTTPResponseSerializer)
    
12.         shareInstance.responseSerializer = [AFJSONResponseSerializer serializer];
    
13.         //设置请求的超时时间
    
14.         shareInstance.requestSerializer.timeoutInterval = 20.0f;
    
15.         //设置ContentType
    
16.         shareInstance.responseSerializer.acceptableContentTypes = [NSSet setWithObjects:@"application/json", @"text/html", @"text/json", @"text/plain", @"text/javascript", @"text/xml", @"image/jpeg",@"image/png", nil];
    
17. 
    
18.         // https配置
    
19.         NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"你的证书名" ofType:@"cer"];
    
20.         NSData *certData = [NSData dataWithContentsOfFile:cerPath];
    
21.         AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate withPinnedCertificates:[[NSSet alloc] initWithObjects:certData, nil]];
    
22. 
    
23.         NSSet *dataSet = [[NSSet alloc] initWithObjects:certData, nil]; //这里可以添加多个server的证书
    
24. 
    
25.         // setPinnedCertificates 设置证书文件（可能不止一个证书）
    
26.         [securityPolicy setPinnedCertificates:dataSet];
    
27.         // allowInvalidCertificates 是否允许无效证书
    
28.         [securityPolicy setAllowInvalidCertificates:NO];
    
29.         // validatesDomainName 是否需要验证域名
    
30.         [securityPolicy setValidatesDomainName:YES];
    
31. 
    
32.         shareInstance.securityPolicy = securityPolicy;
    
33.     });
    
34.     return shareInstance;
    
35. }

复制代码

　　注意：以上说的证书是从服务器端到处的cer或者crt证书，这类证书是X509 Der格式的二进制编码证书，不是X509  PAM格式的Base64编码证书，关于自签名证书的生成请参考如下地址
　　常见证书格式及相互转换
　　iOS非对称加解密
　　iOS 自签名证书建立(self-signed)
　　3.4 双向认证
　　iOS和Android一样，客户端证书库类型可以是PKCS12类型的pfx证书，此类证书包含私钥，公钥和证书，并且由密码。
　　双向认证一般用于安全要求比较高的产品，比如金融类app，政府app等特殊行业。
　　需要准备的文件：服务端证书库，服务端证书信任库 ， 服务端导出的证书，客户端证书库，客户端证书
　　注[1]：服务端证书库可以和服务端信任证书库使用同一个证书库，唯一要做的是把客户端证书导入进行。
　　注[2]：客户端证书一般使用跨平台的PKCS12证书库(pfx或p12)，必须记住证书库密钥，此类证书库同时包含私钥，公钥和证书。
　　3.4.1 信任服务器
　　本步骤用来校验客户端证书，和单向认证完全相同
　　自定义类：MyAFNetworking

1. + (AFHTTPSessionManager *)manager;
   
2. {
   
3.     static AFHTTPSessionManager *shareInstance = nil;
   
4.     static dispatch_once_t onceToken;
   
5.     dispatch_once(&onceToken, ^{
   
6. 
   
7.         NSURLSessionConfiguration *configuration = [NSURLSessionConfiguration defaultSessionConfiguration];
   
8.         shareInstance = [[AFHTTPSessionManager alloc] initWithBaseURL:[NSURL URLWithString:BaseHttpURLString] sessionConfiguration:configuration];
   
9.         //设置请求参数的类型:JSON
   
10.         shareInstance.requestSerializer = [AFJSONRequestSerializer serializer];
    
11.         //设置服务器返回结果的类型:JSON (AFJSONResponseSerializer,AFHTTPResponseSerializer)
    
12.         shareInstance.responseSerializer = [AFJSONResponseSerializer serializer];
    
13.         //设置请求的超时时间
    
14.         shareInstance.requestSerializer.timeoutInterval = 20.0f;
    
15.         //设置ContentType
    
16.         shareInstance.responseSerializer.acceptableContentTypes = [NSSet setWithObjects:@"application/json", @"text/html", @"text/json", @"text/plain", @"text/javascript", @"text/xml", @"image/jpeg",@"image/png", nil];
    
17. 
    
18.         // https配置
    
19.         NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"你的证书名" ofType:@"cer"];
    
20.         NSData *certData = [NSData dataWithContentsOfFile:cerPath];
    
21.         AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate withPinnedCertificates:[[NSSet alloc] initWithObjects:certData, nil]];
    
22. 
    
23.         NSSet *dataSet = [[NSSet alloc] initWithObjects:certData, nil]; //这里可以添加多个server的证书
    
24. 
    
25.         // setPinnedCertificates 设置证书文件（可能不止一个证书）
    
26.         [securityPolicy setPinnedCertificates:dataSet];
    
27.         // allowInvalidCertificates 是否允许无效证书
    
28.         [securityPolicy setAllowInvalidCertificates:NO];
    
29.         // validatesDomainName 是否需要验证域名
    
30.         [securityPolicy setValidatesDomainName:YES];
    
31. 
    
32.         shareInstance.securityPolicy = securityPolicy;
    
33.     });
    
34.     return shareInstance;
    
35. }

复制代码

　　3.4.2 提供客户端证书和证书库

1. /*
   
2. *
   
3. **
   
4. * 创建服务器信任客户端的认证条件
   
5. **
   
6. */
   
7. +(AFHTTPSessionManager *) createCredentialsClient
   
8. {
   
9. __block AFHTTPSessionManager * manager = [MyAFNetworking manager];
   
10. [manager setSessionDidReceiveAuthenticationChallengeBlock:^NSURLSessionAuthChallengeDisposition(NSURLSession*session, NSURLAuthenticationChallenge *challenge, NSURLCredential *__autoreleasing*_credential) {
    
11.     NSURLSessionAuthChallengeDisposition disposition = NSURLSessionAuthChallengePerformDefaultHandling;
    
12.     __autoreleasing NSURLCredential *credential =nil;
    
13.     if([challenge.protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust]) {
    
14.         if([manager.securityPolicy evaluateServerTrust:challenge.protectionSpace.serverTrust forDomain:challenge.protectionSpace.host]) {
    
15.             credential = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];
    
16.             if(credential) {
    
17.                 disposition =NSURLSessionAuthChallengeUseCredential;
    
18.             } else {
    
19.                 disposition =NSURLSessionAuthChallengePerformDefaultHandling;
    
20.             }
    
21.         } else {
    
22.             disposition = NSURLSessionAuthChallengeCancelAuthenticationChallenge;
    
23.         }
    
24.     } else {
    
25.         // client authentication
    
26.         SecIdentityRef identity = NULL;
    
27.         SecTrustRef trust = NULL;
    
28.         NSString *p12 = [[NSBundle mainBundle] pathForResource:@"client"ofType:@"pfx"];
    
29.         NSFileManager *fileManager =[NSFileManager defaultManager];
    
30. 
    
31.         if(![fileManager fileExistsAtPath:p12])
    
32.         {
    
33.             NSLog(@"client.p12:not exist");
    
34.         }
    
35.         else
    
36.         {
    
37.             NSData *PKCS12Data = [NSData dataWithContentsOfFile:p12];
    
38.             #加载PKCS12证书，pfx或p12
    
39.             if ([MyAFNetworking extractIdentity:&identity andTrust:&trust fromPKCS12Data:PKCS12Data])
    
40.             {
    
41.                 SecCertificateRef certificate = NULL;
    
42.                 SecIdentityCopyCertificate(identity, &certificate);
    
43.                 const void*certs[] = {certificate};
    
44.                 CFArrayRef certArray =CFArrayCreate(kCFAllocatorDefault, certs,1,NULL);
    
45.                 credential =[NSURLCredential credentialWithIdentity:identity certificates:(__bridge  NSArray*)certArray persistence:NSURLCredentialPersistencePermanent];
    
46.                 disposition =NSURLSessionAuthChallengeUseCredential;
    
47.             }
    
48.         }
    
49.     }
    
50.     *_credential = credential;
    
51.     return disposition;
    
52. }];
    
53. 
    
54. return manager;
    
55. }
    
56. 
    
57. /**
    
58. **加载PKCS12证书，pfx或p12
    
59. **  
    
60. **/
    
61. +(BOOL)extractIdentity:(SecIdentityRef*)outIdentity andTrust:(SecTrustRef *)outTrust fromPKCS12Data:(NSData *)inPKCS12Data {
    
62.     OSStatus securityError = errSecSuccess;
    
63.     //client certificate password
    
64.     NSDictionary*optionsDictionary = [NSDictionary dictionaryWithObject:@"你的p12密码"
    
65.                                                                 forKey:(__bridge id)kSecImportExportPassphrase];
    
66. 
    
67.     CFArrayRef items = CFArrayCreate(NULL, 0, 0, NULL);
    
68.     securityError = SecPKCS12Import((__bridge CFDataRef)inPKCS12Data,(__bridge CFDictionaryRef)optionsDictionary,&items);
    
69. 
    
70.     if(securityError == 0) {
    
71.         CFDictionaryRef myIdentityAndTrust =CFArrayGetValueAtIndex(items,0);
    
72.         const void*tempIdentity =NULL;
    
73.         tempIdentity= CFDictionaryGetValue (myIdentityAndTrust,kSecImportItemIdentity);
    
74.         *outIdentity = (SecIdentityRef)tempIdentity;
    
75.         const void*tempTrust =NULL;
    
76.         tempTrust = CFDictionaryGetValue(myIdentityAndTrust,kSecImportItemTrust);
    
77.         *outTrust = (SecTrustRef)tempTrust;
    
78.     } else {
    
79.         NSLog(@"Failedwith error code %d",(int)securityError);
    
80.         return NO;
    
81.     }
    
82.     return YES;
    
83. }

复制代码

　　通过以上方式，我们便能实现双向认证了

1. AFHTTPSessionManager * manager = [MyAFNetworking createCredentialsClient];  

复制代码

---

欢迎光临 开发者俱乐部 (http://xodn.com/)

Powered by Discuz! X3.2