iOS中HTTP/HTTPS授权访问(一)

背景

在http请求中某些url访问需要具有权限认证,否则会返回401错误码,这时需要你在请求头中附带授权的用户名,密码;或者使用https协议第一次与服务端建立连接的时候,服务端会发送iOS客户端一个证书,这时我们需要验证服务端证书链(certificate keychain)。
当我们遇到以上情况的时候NSURLSession(在iOS7以后网络请求全部由NSURLSession来完成所以在此以NSURLSession为例)中的一个delegate会被调用:

 - (void)URLSession:(NSURLSession *)session
              task:(NSURLSessionTask *)task
didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge
 completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition disposition, NSURLCredential *credential))completionHandler

这个代理就是为了处理从服务端传回的NSURLAuthenticationChallenge(认证),在NSURLAuthenticationChallenge的protectionSpace中存放了服务端返回的认证信息,我们需要根据这些信息来创建对应的NSURLCredential(证书/凭证),并且设置对应的NSURLSessionAuthChallengeDisposition(处理方式)来告诉NSURLSession来如何处理处服务端返回的个认证.

NSURLSessionAuthChallengeDisposition中包含三种类型

 NSURLSessionAuthChallengePerformDefaultHandling:默认方式处理
 NSURLSessionAuthChallengeUseCredential:使用指定的证书
 NSURLSessionAuthChallengeCancelAuthenticationChallenge:取消

AFNetworking在代理中做了如下处理:

    NSURLSessionAuthChallengeDisposition disposition = NSURLSessionAuthChallengePerformDefaultHandling;
    __block NSURLCredential *credential = nil;

    if (self.sessionDidReceiveAuthenticationChallenge)
    {   // 自定义认证处理方式
        disposition = self.sessionDidReceiveAuthenticationChallenge(session, challenge, &credential);
    }
    else
    {   // 默认处理方式
        if ([challenge.protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust])
        {
            // 根据AFSecurityPolicy的默认规则判断是否需要新建证书
            if ([self.securityPolicy evaluateServerTrust:challenge.protectionSpace.serverTrust forDomain:challenge.protectionSpace.host])
            {
                credential = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust]; // 根据服务器返回的challenge中的protectionSpace中的SecTrustRefwww创建证书
                if (credential) {
                    disposition = NSURLSessionAuthChallengeUseCredential; // 使用创建的证书
                } else {
                    disposition = NSURLSessionAuthChallengePerformDefaultHandling; //使用默认方式
                }
            }
            else
            {
                disposition = NSURLSessionAuthChallengeCancelAuthenticationChallenge;
            }
        }
        else
        {
            disposition = NSURLSessionAuthChallengePerformDefaultHandling;
        }
    }

    if (completionHandler) {
        completionHandler(disposition, credential);
    }

这个方法具体做了什么会在后面的文章中写出,本文主要介绍的是NSURLCredentialNSURLAuthenticationChallenge.

NSURLCredential

在这个代理中是一个用来提供用户和密码,或者是信任服务器证书凭证的证书类,主要有一下三种创建方式:

1.通过用户名,密码来创建证书,一般用于401错误的认证,或者其他需要用户名密码的认证

    - (instancetype)initWithUser:(NSString *)user password:(NSString *)password persistence:(NSURLCredentialPersistence)persistence;

2.通过从钥匙串中取得一个客户端证书来创建证书,一般用于服务端要认证客户端的情况

    - (instancetype)initWithIdentity:(SecIdentityRef)identity certificates:(nullable NSArray *)certArray persistence:(NSURLCredentialPersistence)persistence

3.通过服务端传回的SecTrustRef(包含待验证的证书和支持的验证方法等。)对象创建证书,一般用于客户端需要验证服务端身份时使用

-(id)initWithTrust:(SecTrustRef)trust

你会发现前两个构造方法中都有一个NSURLCredentialPersistence参数,这个参数一共含有三种类型

  • NSURLCredentialPersistenceNone 不保存,只请求一次
  • NSURLCredentialPersistenceForSession 只在本次会话中有效
  • NSURLCredentialPersistencePermanent 永久有效,保存在钥匙串中

NSURLProtectionSpace

在介绍NSURLAuthenticationChallenge之前先说一下NSURLAuthenticationChallenge中的一个属性NSURLProtectionSpace这是权限认证的核心,它通常被称为保护空间,表示需要认证的服务器或者域,它定义了一系列的约束去告诉我们需要向服务器提供什么样的认证,这个保护空间含有以下几个信息:

- (NSString *)realm; // 用于定义保护的区域,在服务端可以通过 realm 将不同的资源分成不同的域,域的名称即为 realm 的值,每个域可能会有自己的权限鉴别方案。
- (BOOL)receivesCredentialSecurely; // 这个空间内的证书是否能够安全的发送
- (BOOL)isProxy; // 代理授权
- (NSString *)host; // 服务端主机地址,如果是代理则代理服务器地址
- (NSInteger)port; // 服务端端口地址,如果是代理则代理服务器的端口
- (NSString *)proxyType; // 代理类型,只对代理授权,比如http代理,socket代理等。
- (NSString *)protocol; // 使用的协议,比如http,https, ftp等,
- (NSString *)authenticationMethod; // 指定授权方式,比如401,客户端认证,服务端信任,代理等。
- (NSArray *)distinguishedNames; // 可接受的颁发机关客户端证书身份验证
- (SecTrustRef)serverTrust; // 用于服务端信任,指定一个信任对象,可以用这个对象来建立一个凭证。

其中authenticationMethod中包含的认证类型如下:

NSURLProtectionSpaceHTTP // http协议
NSURLProtectionSpaceHTTPS // https协议
NSURLProtectionSpaceFTP // ftp协议
NSURLProtectionSpaceHTTPProxy // http代理
NSURLProtectionSpaceHTTPSProxy // https代理
NSURLProtectionSpaceFTPProxy // ftp代理
NSURLProtectionSpaceSOCKSProxy // socks代理
NSURLAuthenticationMethodDefault // 协议的默认身份认证
NSURLAuthenticationMethodHTTPBasic // http的basic认证,等同于NSURLAuthenticationMethodDefault
NSURLAuthenticationMethodHTTPDigest // http的摘要认证
NSURLAuthenticationMethodHTMLForm // html的表单认证
适用于任何协议
NSURLAuthenticationMethodNTLM // NTLM认证
NSURLAuthenticationMethodNegotiate // Negotiate认证
NSURLAuthenticationMethodClientCertificate // ssl证书认证,适用于任何协议
NSURLAuthenticationMethodServerTrust // ServerTrust认证,适用于任何协议

接下来就是NSURLAuthenticationChallenge

NSURLAuthenticationChallenge

这是由服务端返回的权限认证类,中间包含如下信息:

- (NSURLProtectionSpace *)protectionSpace; // 这个函数返回一个类NSURLProtectionSpace,类中描述服务器中希望的认证方式以及协议,主机端口号等信息。
- (NSURLCredential *)proposedCredential; // 建议使用的证书
- (NSInteger)previousFailureCount; // 用户密码输入失败的次数。
- (NSURLResponse *)failureResponse; // 授权失败的响应头的详细信息
- (NSError *)error; // 最后一次授权失败的错误信息

我们可以大致梳理下整体流程:

整体流程.png

当客户端发出一个网络请求的时候(图中的第1,2步),服务端会收到来自客户端的请求并作出响应(图中的第3步),这里服务端发现此请求需要输入用户名才能继续,所以客户端返回了一个权限认证,这是客户端中的NSURLSession的delegate会被调用,这时我们可以从challenge中的protectionSpace里的authenticationMethod属性获取到当前服务器需要我们提供什么类型的认证 (在图中authenticationMethod为NSURLAuthenticationMethodHTTPDigest) ,根据不同的类型使用不同的方式创建需要处理的credential然后设置对应的disposition参数,然后通过completionHandler告诉Session如何处理此次的权限认证(其实最后最后session会将此凭证返回给服务端,再由服务端去校验输入用户名密码是否正确,如果正确便继续请求,如果不正确的话会继续返回认证).

结语

其实本文除了介绍NSURLCredentialNSURLAuthenticationChallenge外还大致讲述了在http请求中的NSURLAuthenticationMethodHTTPDigest(摘要认证)认证的大致流程,在下一篇文章中会着重讲述下https请求中的验证以及客户端的校验过程。

参考博文:
http://blog.csdn.net/wangyangzhizhou/article/details/51336038?utm_source=tuicool&utm_medium=referral
http://blog.csdn.net/u014084081/article/details/53610157
http://www.cnblogs.com/eileenleung/p/5237682.html
http://www.jianshu.com/p/4b5d2d47833d
http://blog.csdn.net/tencent_bugly/article/details/54572899

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,547评论 6 477
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,399评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,428评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,599评论 1 274
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,612评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,577评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,941评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,603评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,852评论 1 297
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,605评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,693评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,375评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,955评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,936评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,172评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 43,970评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,414评论 2 342

推荐阅读更多精彩内容