概述
上篇笔记了解了https的原理,这篇笔记看一下iOS开发中要对对https做的处理。
https协议和iOS系统帮我们做好了大部分工作,在开发中我们可能需要处理的地方是证书的信任评估。
而大部分APP只要验证服务端证书而不需要服务端验证客户端的证书。
所以iOS开发中主要处理两种情况就行:
- 服务端使用的CA签发的证书
- 服务端使用的自己签发的证书
以NSURLSession请求为例
◇ 首先创建NSURLSession实例对象
- (NSURLSession *)defaultSession {
static NSURLSession *session = nil;
static dispatch_once_t onceToken;
dispatch_once(&onceToken, ^{
NSURLSessionConfiguration *configuration = [NSURLSessionConfiguration defaultSessionConfiguration];
session = [NSURLSession sessionWithConfiguration:configuration delegate:self delegateQueue:[NSOperationQueue mainQueue]];
});
return session;
}
◇ 然后通过NSURLSession的实例创建task
- (void)viewDidLoad {
[super viewDidLoad];
self.session = [self defaultSession];
[self sessionTaskInit];
}
- (void)sessionTaskInit {
NSURLRequest *request = [NSURLRequest requestWithURL:[NSURL URLWithString:localhostString]];
self.dataTask = [self.session dataTaskWithRequest:request];
}
◇ 执行task
- (void)resume {
[self.dataTask resume];
}
◇ 注意
这里有两个问题要注意:
★ 1
NSURLSession网络请求的相关协议有:NSURLSessionDelegate,
NSURLSessionTaskDelegate,
NSURLSessionDataDelegate,
NSURLSessionDownloadDelegate,NSURLSessionStreamDelegate
创建NSURLSession对象的时候设置了delegate为self:
session = [NSURLSession sessionWithConfiguration:configuration delegate:self delegateQueue:[NSOperationQueue mainQueue]];
默认的情况下会把这些协议的代理都指向self,所以如果用到这些协议里的方法可以直接写在self里
★ 2
NSURLSession对象会被系统框架强引用保活,例如简单的请求可以写成这样而不必担心beginRequest方法块执行完后相关对象被释放掉导致拿不到回调数据:
- (void)beginRequest {
// 快捷方式获得session对象
NSURLSession *session = [NSURLSession sharedSession];
NSURL *url = [NSURL URLWithString:@"https://github.com/"];
// 通过URL初始化task,在block内部可以直接对返回的数据进行处理
NSURLSessionTask *task = [session dataTaskWithURL:url
completionHandler:^(NSData *data, NSURLResponse *response, NSError *error) {
NSLog(@"%@",data);
}];
// 启动任务
[task resume];
}
在NSURLSession对象的delegate中添加必要的代理
◇ 首先添加三个代理方法
// 提示请求进度
- (void)URLSession:(NSURLSession *)session downloadTask:(NSURLSessionDownloadTask *)downloadTask
didWriteData:(int64_t)bytesWritten
totalBytesWritten:(int64_t)totalBytesWritten
totalBytesExpectedToWrite:(int64_t)totalBytesExpectedToWrite {
BLog();
self.progressView.progress = totalBytesWritten/(float)totalBytesExpectedToWrite;
self.progressLabel.text = [NSString stringWithFormat:@"%.2f",totalBytesWritten/(float)totalBytesExpectedToWrite];
NSLog(@"%@",self.progressLabel.text);
}
// 接收数据
- (void)URLSession:(NSURLSession *)session dataTask:(NSURLSessionDataTask *)dataTask
didReceiveData:(NSData *)data{
BLog();
[self.mutableData appendData:data];
}
// 打印结果
- (void)URLSession:(NSURLSession *)session task:(NSURLSessionTask *)task didCompleteWithError:(nullable NSError *)error {
BLog();
if (error) {
NSLog(@"error:%@",error);
}else {
self.progressView.progress = 1;
self.progressLabel.text = @"1";
NSLog(@"success");
NSLog(@"%@",[[NSString alloc] initWithData:self.mutableData encoding:NSUTF8StringEncoding]);
}
}
三个方法分别更新请求进度,接受数据,请求完成判断是发生了错误还是成功,错误了提示成功了打印请求数据。
◇ https相关的两个代理方法
- (void)URLSession:(NSURLSession *)session didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge
completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition disposition, NSURLCredential * _Nullable credential))completionHandler {
BLog();
}
- (void)URLSession:(NSURLSession *)session task:(NSURLSessionTask *)task
didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge
completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition disposition, NSURLCredential * _Nullable credential))completionHandler{
BLog();
}
从上篇笔记我们知道SSL握手阶段,客户端拿到服务端证书,需要验证证书的真实性以确定服务端是否可信。开发者在这两个代理方法中获取证书相关信息,判断证书的真实性,并通过调用completionHandler传递验证结果反馈给系统。
如果服务端使用的是系统信任的CA签发的证书的话,不用做任何处理或者干脆不写着两个方法就能通过验证。自签名证书则必须在这两个方法中做相关处理。
从参数来看第二个方法只比第一个方法多了一个(NSURLSessionTask *)task参数。下面来看下两个方法的区别。
◇ 区别
- 如果是session级别的证书认证NSURLAuthenticationMethodNTLM,
NSURLAuthenticationMethodNegotiate,
NSURLAuthenticationMethodClientCertificate,
NSURLAuthenticationMethodServerTrust
NSURLSession会调用session代理方法:
URLSession:didReceiveChallenge:completionHandler:,如果app没有提供该代理方法会调用:URLSession:task:didReceiveChallenge:completionHandler:
其中https中对于服务端的证书的认证质询(认证服务端身份),不论是CA证书还是自建证书,验证类型都是 NSURLAuthenticationMethodServerTrust。
当服务端要验证客户端证书发起的认证质询的类型是NSURLAuthenticationMethodClientCertificate
- 其余非session级别的认证,会调用代理方法 URLSession:task:didReceiveChallenge:completionHandler:去处理
,记住URLSession:didReceiveChallenge:completionHandler:不能处理非session级别的challenges,如果有,则必须明确通过URLSession:task:didReceiveChallenge:completionHandler:方法去处理
所以我们只在URLSession:task:didReceiveChallenge:completionHandler:方法中做处理就可以应对所有的https证书认证挑战。
下篇笔记iOS系统的TLS链验证开始学习URLSession:task:didReceiveChallenge:completionHandler:方法的内部处理。
demo
参考:
Life Cycle of a URL Session
Authentication Challenges and TLS Chain Validation
Evaluating Trust
Overriding TLS Chain Validation Correctly
NSURLAuthenticationChallenge
