iOS——HTTPS接入与配置实战

这里粗略的说一下关于HTTPS

https简单说明
HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。
即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。 它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于安全的HTTP数据传输。
https:URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。
HTTPS和HTTP的区别主要为以下四点:
  • 一、https协议需要到ca申请证书,一般免费证书很少,需要交费。
  • 二、http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议。
  • 三、http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
  • 四、http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。

关于更多HTTPS可以看看这篇文章:

HTTPS原理和CA证书申请(满满的干货)

具体流程就是

当客户端给服务器发送请求时, 服务器中有一对钥匙(公钥,私钥). 服务器会返回给客户端一个公钥,并把两者的传输通道变为受保护空间(安全证书).

此时 客户端拥有公钥,服务器拥有私钥. 当服务器返回数据给客户端时,数据是使用私钥加密过的. 客户端需要使用 公钥解密. 客户端发请求也是通过公钥加密. 服务器使用私钥来解密.(从某种意义上来说. 安全证书 就是公钥)

关于如下类型错误请自行百度:

App Transport Security has blocked a cleartext HTTP (http://) resource load since it is insecure. Temporary exceptions can be configured via your app’s Info.plist file.

接下来就开始进行实战处理

准备

iOS做https适配时对服务器是有一定要求的,服务端必须要是一个符合ATS(App Transport Security)要求的HTTPS。简单说要满足以下几个要求:

  • 1.Transport Layer Security协议版本要求TLS1.2以上
  • 2.服务的Ciphers配置要求支持Forward Secrecy等
  • 3.证书签名算法符合ATS要求等

Swift

关于Swif目前要么使用Alamofire,要么使用Moya,这里只接受Moya,关于Alamofire可以看这篇文章,相对Moya会复杂一点点,但是原理其实差不多是一样的

Moya对应版本
  • Moya版本号:Moya (12.0.1)
  • Alamofire版本号:Alamofire (4.8.1)

实现方法

1、默认非HTTPS实现方法:

默认情况下定义Manager:

1
MoyaProvider<MultiTarget>.defaultAlamofireManager()

该方法不需要做任何处理,Moya默认已经实现

2、HTTPS免证书实现方法(校验证书,可以抓包):
1
2
3
4
5
let manager: Manager = MoyaProvider<MultiTarget>.defaultAlamofireManager()
manager.delegate.sessionDidReceiveChallenge = {
session,challenge in
return (URLSession.AuthChallengeDisposition.useCredential,URLCredential(trust:challenge.protectionSpace.serverTrust!))
}

注:需要导入:import Alamofire

3、HTTPS+证书实现方法(校验证书,不可以抓包)

在实现本方法前,首先需要服务器端提供“*.crt”证书,然后进入证书所在的路径,控制台执行以下命令:

1
openssl x509 -in *.crt -out *.cer -outform der

得到cer类型证书后,双击,导入电脑或者直接让服务器提供.cer,然后把cer文件拖动到工程中。

1
2
3
4
5
6
7
8
9
10
11
let configuration = URLSessionConfiguration.default
configuration.httpAdditionalHeaders = Manager.defaultHTTPHeaders
let path: String = Bundle.main.path(forResource: "xxx", ofType: "cer") ?? ""
let certificationData = try? Data(contentsOf: URL(fileURLWithPath: path)) as CFData

let certificate = SecCertificateCreateWithData(nil, certificationData!)
let certificates: [SecCertificate] = [certificate!]

let policies: [String: ServerTrustPolicy] = ["domain": ServerTrustPolicy.pinCertificates(certificates: certificates, validateCertificateChain: true, validateHost: true)]

let manager = Manager(configuration: configuration, serverTrustPolicyManager: ServerTrustPolicyManager(policies: policies))
最后把manager当参数传递给MoyaProvider
1
MoyaProvider<MultiTarget>(endpointClosure: endpoint, requestClosure: requestEndpoint, stubClosure: stubClosure, manager: manager, plugins: plugins)

Objective-C

以上主要是Swift实现Https请求和验证支持

下面看看OC的实现,OC的实现其实,由于现在OC几乎都是利用AFN或者AFN的衍生库实现网络请求,老项目的ASI这里就不提了,所以这里只是简单介绍AFN支持

1. 首先定义一个安全协议,和帧数相关验证支持

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
- (AFSecurityPolicy*)customSecurityPolicy {
// /先导入证书
NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"jmt" ofType:@"cer"];//证书的路径
NSData *certData = [NSData dataWithContentsOfFile:cerPath];

// AFSSLPinningModeCertificate 使用证书验证模式
AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];

// allowInvalidCertificates 是否允许无效证书(也就是自建的证书),默认为NO
// 如果是需要验证自建证书,需要设置为YES
securityPolicy.allowInvalidCertificates = YES;

//validatesDomainName 是否需要验证域名,默认为YES;
//假如证书的域名与你请求的域名不一致,需把该项设置为NO;如设成NO的话,即服务器使用其他可信任机构颁发的证书,也可以建立连接,这个非常危险,建议打开。
//置为NO,主要用于这种情况:客户端请求的是子域名,而证书上的是另外一个域名。因为SSL证书上的域名是独立的,假如证书上注册的域名是www.google.com,那么mail.google.com是无法验证通过的;当然,有钱可以注册通配符的域名*.google.com,但这个还是比较贵的。
//如置为NO,建议自己添加对应域名的校验逻辑。
securityPolicy.validatesDomainName = NO;

securityPolicy.pinnedCertificates = [NSSet setWithObject:certData];

return securityPolicy;
}

然后在网络请求,初始化Manager的时候,根据配置HTTPS支持

1
2
3
4
5
if (!isDeveloperEnvironment) {
//配置https
manager.securityPolicy = [self customSecurityPolicy];
manager.securityPolicy.allowInvalidCertificates = YES;
}

总结

  • 1)HTTPS的主要思想是在不安全的网络上创建一安全信道,并可在使用适当的加密包和服务器证书可被验证且可被信任时,对窃听和中间人攻击提供合理的保护。
  • 2)HTTPS的信任继承基于预先安装在浏览器中的证书颁发机构(如VeriSign、Microsoft等)(意即“我信任证书颁发机构告诉我应该信任的”)。
  • 3)因此,一个到某网站的HTTPS连接可被信任,如果服务器搭建自己的https 也就是说采用自认证的方式来建立https信道,这样一般在客户端是不被信任的。
  • 4)所以我们一般在浏览器访问一些https站点的时候会有一个提示,问你是否继续。

到此,拜了个拜……

推荐:关于https的简介和说明我都是参考下面的文章:(谢谢文章作者)

  1. http://my.oschina.net/vimfung/blog/494687
  2. http://oncenote.com/2014/10/21/Security-1-HTTPS/
  3. http://blog.csdn.net/dachao_me/article/details/48624685?ref=myread
坚持原创技术分享,您的支持将鼓励我继续创作!