正确设定AFNetworking的安全连接

为什么突然这么一讲?

1.之前苹果公司在iOS9的时候,建议大家将Allow Arbitrary Loads 设置成NO,然后充分利用HTTPS发送网络和接收数据,保证数据安全;
2.这几天一直看AFN的源码,到了AFSecurityPolicy这一类中,但是看到了AFN在我们项目中使用没有太多的调用该类;
3.之前适配HTTPS的时候,有朋友说需要在Xcode中配置一下.cer,有的朋友说不需要也可以正常使用AFN;
4.很多点自己也不是特别理解,比较混乱;


HTTPS的流程图
HTTPS流程图

图例说明:
1.发送HTTPS请求;
2.后台有一套AC证书,公钥私钥;
3.在公钥中设置了加密算法(有的人说在client端设置的,但是我看一些文章是在公钥,而且返回的证书中有算法的名称,可信度较高,我没有去做过多的研究),然后直接将crt的公钥返回客户端;
4.在client段使用之前的放置好的“后台给的cer证书”,去和后台response的公钥比较一下,看看是不是可信任的;(SSL在这里使用到了)
5.如果可信,那么生成一个randomkey,就是随机数,然后将随机数放到公钥中加密保存,传递回去;(此时其他第三方及时获取了公钥,也无法打开,因为这个只有私钥能够打开)
6.服务端通过私钥打开公钥,获取随机数,然后用随机数打包加密要传递的数据;
7.通过刚才生成的随机数打开服务器返回的数据


为什么用HTTPS?

HTTP过去一直使用,但是容易被其他人获取到数据,会造成数据泄露,影响用户安全;
HTTPS是多添加了SSL层,帮助我们通过SSL层,加密数据,让第三方无法获取数据;

SSL层都有什么模式,每种模式的作用是什么?
  • SSL Pinning在AFN中经常看到,我们翻译成证书绑定,说白了就是将证书放到项目中Supporting Files这个文件夹就行

  • SSL的模式:

typedef NS_ENUM(NSUInteger, AFSSLPinningMode) 
{
   AFSSLPinningModeNone, 
   AFSSLPinningModePublicKey, 
   AFSSLPinningModeCertificate, 
};

AFSSLPinningModeNone无条件信任后台返回来的证书,AFN默认就是这个,大多数使用AFN的人都是用的这个,使用这个,不用往项目中添加cer证书;但是不安全,因为这个没有任何验证

AFSSLPinningModePublicKey要去验证服务器中的公钥,这个是特别推荐使用的,即使证书过期了,也可以使用,因为只去验证公钥,此时,要在Xcode项目中,放置后台的cer证书供AFN去遍历查询使用

AFSSLPinningModeCertificate去验证证书,这个不推荐,费力不讨好,而且一旦证书过期了,那么就要想办法去更新一下,因为一个CA证书,可能是有很多机构一级一级的颁发,所以其中一个过期了,验证就不正确了,所以就要去更新,在app中我们每一次都要去更新,但是不安全,有有可能第三方在这个时候,他们做中间的攻击;这种模式,也要在Xcode中放置后台的cer证书


AFSecurityPolicy是个啥
  • 当发送网络请求的时候,我们和后台要链接的时候,可能要接收到后台服务器的认证挑战(authentication challenge),就是看看咱们是不是一伙的。要去认证的时候,客户端要去看看后台发来的证书是不是“受信”的,说白了,就是能不能信任他。如果能信任,那么发送一个凭证(Credential)给服务器去接收挑战;
  • 验证证书是否正确的方法是[AFSecurityPolicy evaluateServerTrust:forDomain:]
  • AFN的安全类,用于保证数据传输的安全
/**
 Whether or not to trust servers with an invalid or expired SSL certificates. Defaults to `NO`. 
这里面AFN会自动遍历项目中的所有cer证书,将来只要你的SSLMode是certificate或者是PublicKey,那么这里面是要有证书的
 */
@property (nonatomic, strong, nullable) NSSet <NSData *> *pinnedCertificates;

/**
 Whether or not to trust servers with an invalid or expired SSL certificates. Defaults to `NO`.
1.是否允许未验证的证书,这个默认是no,每一个iOS版本,都有一个list,装有AC证书,如果不在这列表中的,都是invalid;这个属性一班用于测试情况,建议是用NO;
2.但是如果你们后台自己建立了公钥和私钥,没有通过AC机构颁发,这个字段是要使用YES的,AFN充分考虑了这个情况
 */
@property (nonatomic, assign) BOOL allowInvalidCertificates;

/**
 Whether or not to validate the domain name in the certificate's CN field. Defaults to `YES`.
1.在公钥中,有访问的域名,Domain,一般要去验证一下,这个是保证不会出错的一个关键点
 */
@property (nonatomic, assign) BOOL validatesDomainName;

//这个方法是AFNSession接收挑战的时候,用这个去验证一下`服务器授信`是不是可以信任
- (BOOL)evaluateServerTrust:(SecTrustRef)serverTrust
                  forDomain:(nullable NSString *)domain;


如何安全的访问服务器数据?

1.使用HTTPS请求
2.在Xcode中配置cer证书
3.正确的配置AFN的安全策略

  • step1.使用HTTPS请求
    1.确定一下你们后台使用的HTTPS请求,如果不是,那就算了;
    2.Allow Arbitrary Loads 设置成NO,说不好哪天苹果直接给你打回来了

  • step2.在Xcode中配置cer证书
    1.向后台人员要.cer证书
    2.如果后台没有.cer文件,只有.crt文件,那么通过一下指令修改,使用DER格式编码

    //myWebsite这个名字是你自己起的
    openssl x509 -in myWebsite.crt -out myWebsite.cer -outform der
    

    3.如果他们也没有这个证书,那么你需要自己配置一下

//mywebsite 换成自己的
openssl s_client -connect www.mywebsite.com:443 </dev/null 2>/dev/null | openssl x509 -outform DER > myWebsite.cer

4.将.cer文件导入到Xcode中
切结选择Copy items if neededAdd to targets

效果

  • step3.设置AFN的配置
@interface APIManager : AFHTTPSessionManager
+ (APIManager *)sharedInstance;
@end

@implementation APIManager
+ (APIManager *)sharedInstance {
  static APIManager *_sharedClient = nil;
  static dispatch_once_t onceToken;

  dispatch_once(&onceToken, ^{
    NSURLSessionConfiguration *sessionConfiguration = [NSURLSessionConfiguration defaultSessionConfiguration];
    _sharedClient = [[APIManager alloc] initWithBaseURL:nil sessionConfiguration:sessionConfiguration];
    AFSecurityPolicy *policy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModePublicKey];
     policy.validatesCertificateChain = NO; // v2.6.0 之後沒有這個選項了
    _sharedClient.securityPolicy = policy;
  });

  return _sharedClient;
}
@end

https原理:证书传递、验证和数据加密、解密过程解析
正确使用AFNetworking的SSL保证网络安全 - CocoaChina_让移动开发更简单
如何正確設定 AFNetworking 的安全連線

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 215,012评论 6 497
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,628评论 3 389
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 160,653评论 0 350
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,485评论 1 288
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,574评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,590评论 1 293
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,596评论 3 414
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,340评论 0 270
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,794评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,102评论 2 330
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,276评论 1 344
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,940评论 5 339
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,583评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,201评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,441评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,173评论 2 366
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,136评论 2 352

推荐阅读更多精彩内容