*流程目录
1.客户端调用网址www.domain.com,连接到服务器的443端口
2.服务器返回一个证书(包括公钥,和证书信息,如证书颁发机构,过期时间等),证书由服务器所拥有的的私钥非对称加密生成。
3.客户端对证书进行验证(首先会验证证书是否有效,比如颁发机构,过期时间等等)
4.如果客户端验证通过,客户端生成一个随机数,在用服务器返回的证书(公钥)进行加密传输
5.因为公钥是通过服务器的私钥生成,所以服务器是可以对客户端传回的加密数据进行对称解密。服务器逻辑处理完,用服务器拿到由客户端生成的随机数,对要传递回去的数据使用随机数加密
6.客户端收到服务器使用随机数加密的数据进行解密。
->对于app很多研究https的同学来说,查阅了大量的资料,接收到的信息量太大,容易混淆获取证书跟证书校验等很多概念,结合代码调试可能会有点断片,事实是这样的。
->app开发过程中,我们的app通常只跟一个服务器进行交互,所以就没必要每次请求都从服务器获取证书(公钥),一般直接将服务器生成的证书(公钥)放在App中,请求时只要直接跟服务器返回的证书公钥进行对比,验证通过则使用公钥进行加密,然后传递回服务器。即使app通信被中间人截取,冒充服务器,但是没有对应的私钥,截获的信息也无法解密,保护了传递的信息的安全。
1.名词解释:
1. NSURLAuthenticationChallenge: 封装了服务器需要验证客户端的证书。
- Authentication Challenges 指验证SSL中证书
- [URLSession:task:didReceiveChallenge:completionHandler:]是为了让我们决定怎么响应Authentication Challenges. 这个代理方法有三种选其中一种提供一个认证凭证(NSURLCredential对象)
- 你可以通过提供NSURLCredential对象来做身份验证工作。具体怎么处理取决于你使用的API和认证类型。
*一般不创建身份认证对象(NSURLAuthenticationChallenge),当要对自定义的网络协议支持时创建此对象。
*当应用在NSURLSession,NSURLConnection和NSURLDownload的代理方法中收到身份验证问题,如 URLSession:task:didReceiveChallenge:completionHandler:这些对象提供了如何处理服务器身份验证请求时需要的信息。
*身份认证的核心内容:定义请求的1.身份验证类型2.主机和端口号3.网络协议以及(在适用的情况下)认证领域(同一服务器上的一组相关URL)一套凭证)的保护空间.
2. AFSecurityPolicy: 验证 HTTPS 请求的证书是否有效
AFSecurityPolicy封装了证书验证的过程,让用户可以轻易使用,除了去系统信任CA机构列表验证,还支持SSL Pinning方式的验证
typedef NS_ENUM(NSUInteger, AFSSLPinningMode) {
//不使用固定证书(本地)验证服务器。直接从客户端系统中的受信任颁发机构 CA 列表中去验证
AFSSLPinningModeNone,
// 代表会对服务器返回的证书中的PublicKey进行验证,通过则通过,否则不通过
AFSSLPinningModePublicKey,
// 代表会对服务器返回的证书同本地证书全部进行校验,通过则通过,否则不通过
AFSSLPinningModeCertificate,
};
3. NSURLCredential : 包含服务器预期的格式的身份验证信息
- 通过challenge.protectionSpace.authenticationMethod类型(大部分app支持https只需要验证服务端的真实性,验证服务端证书NSURLAuthenticationMethodServerTrust)决定提供什么样的NSURLCredential对象
- App 将SecTrustRef对象通过
bool b=[self.securityPolicy evaluateServerTrust:challenge.protectionSpace.serverTrust forDomain:challenge.protectionSpace.host]
- 验证通过,创建 NSURLCredential对象
NSURLCredential *credential = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];
- 回传给服务端
[[challenge sender] useCredential:credential forAuthenticationChallenge:challenge];
2.执行流程(基于AFN):
1. willSendRequestForAuthenticationChallenge
2. [challenge.protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust]
3. -(BOOL)evaluateServerTrust:(SecTrustRef)serverTrust
forDomain:(NSString *)domain
//加入的domain的验证。SSL域名检查,每个证书都会包含一个DomainName, 它可以是一个IP地址,一个域名或者一 端带有通配符的域名。如*[.google.com]
4. validatesDomainName 是指是否设置validatesDomainName=YES将严格地保证其安全性。
[policies addObject:(__bridge_transfer id)SecPolicyCreateSSL(true, (__bridge CFStringRef)domain)];
//设置验证策略,SSL证书策略,调用SecTrustSetPolicies来重新设置校验策略,主要是用于使用IP进行HTTPS请求
5. SecTrustSetPolicies(serverTrust, (__bridge CFArrayRef)policies);
//AFServerTrustIsValid 或 AFPublicKeyForCertificate
//创建SecTrucstRef对象,如果出错就跳转到_out
6. __Require_noErr_Quiet(SecTrustCreateWithCertificates(tempCertificates, policy, &allowedTrust), _out);
//证书校验,出错_out
__Require_noErr_Quiet(SecTrustEvaluate(allowedTrust, &result), _out);
//对于 AFPublicKeyForCertificate 不出错会拿到一个 allowedPublicKey = (__bridge_transfer id)SecTrustCopyPublicKey(allowedTrust);
//对于AFServerTrustIsValid 来说 直接返回是否验证通过 isValid = (result == kSecTrustResultUnspecified || result == kSecTrustResultProceed);
//创建身份
7. NSURLCredential *credential = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];
//回传
8. [[challenge sender] useCredential:credential forAuthenticationChallenge:challenge];
