AFNetworking源码阅读笔记(五)

四、Security部分

顾名思义这块是AFNetworking中的安全框架,在iOS9之后网络请求中加入SSL使用HTTPS几乎已经成为苹果的强制要求了。Security这部分主要功能就是用来验证HTTPS的证书是否有效。这部分主要是通过AFSecurityPolicy这个类来实现的。

下面还是通过一个具体的调用来分析,就从AFNetworking的默认调用开始,之前在分析NSURLSession部分时提到过,在AFURLSessionManager的初始化方法中设置:

首先分析一下AFSecurityPolicy的这个初始化方法:

可看出在这一系列的初始化方法中主要设置了这两个属性,securityPolicy.SSLPinningMode = AFSSLPinningModeNoneself.validatesDomainName = YES。

表示是否验证域名,默认是YES

AFSSLPinningModeNone表示不使用固定证书(本地)验证服务器。直接从客户端系统中的受信任颁发机构 CA 列表中去验证。

AFSSLPinningModePublicKey代表会对服务器返回的证书中的PublicKey进行验证,通过则通过,否则不通过。

AFSSLPinningModeCertificate代表会对服务器返回的证书同本地证书全部进行校验,通过则通过,否则不通过。

可看出AFNetworking默认使用的是AFSSLPinningModeNone模式。

继续查看发现AFURLSessionManager会在这两个地方使用这个属性:

这两个方法分别是实现了NSURLSessionDelegateNSURLSessionTaskDelegate的协议方法。然后通过这方法里实现https的认证。服务端发起的一个验证挑战,客户端需要根据挑战的类型提供相应的挑战凭证。当然,挑战凭证不一定都是进行HTTPS证书的信任,也可能是需要客户端提供用户密码或者提供双向验证时的客户端证书。当这个挑战凭证被验证通过时,请求便可以继续顺利进行。下面具体分析认证过程:

NSURLAuthenticationChallenge*类型的challenge 表示一个认证的挑战,提供了关于这次认证的全部信息。接着看:

challengeprotectionSpace属性保存了需要认证的保护空间,NSURLProtectionSpace *类型的protectionSpace主机地址,端口和认证方法等重要信息。由上边代码可知如果protectionSpace.authenticationMethodNSURLAuthenticationMethodServerTrust,就对保护空间中的 serverTrust 以及域名host进行认证,并根据认证的结果,会在 completionHandler 中传入不同的disposition 和credential参数。

继续深入分析AFSecurityPolicy的认证方法:

第一个条件分支

如果有服务器域名、设置了允许信任无效或者过期证书(自签名证书)、需要验证域名、没有提供证书或者不验证证书,返回NO。

这一步为设置验证策略,如果要验证域名,就以域名为参数创建一个策略,否则创建默认的basicX509策略。

这一步是验证证书的有效性,如果是AFSSLPinningModeNone,不做本地证书验证,从客户端系统中的受信任颁发机构 CA 列表中去验证服务端返回的证书。但是如果不做本地证书验证,从客户端系统中的受信任颁发机构 CA 列表中去验证服务端返回的证书通不过的话,而且allowInvalidCertificates不允许自签,返回NO

调用下面这个方法进行验证有效性:

可看到这个方法里边都是对系统库<Security/Security.h>中方法的调用。

接下来是通过不同的self.SSLPinningMode进行对服务器信任的验证。

如果是AFSSLPinningModeNone直接返回NO

如果是AFSSLPinningModeCertificate

首先把证书data用系统方法SecCertificateCreateWithData转成 SecCertificateRef 类型的数据,再调用系统方法SecTrustSetAnchorCertificatespinnedCertificates设置成需要参与验证的Anchor Certificate(锚点证书)。

参与校验锚点证书之后,假如验证的数字证书是这个锚点证书的子节点,即验证的数字证书是由锚点证书对应CA或子CA签发的,或是该证书本身,则信任该证书),具体就是调用SecTrustEvaluate来验证(如上)。

接下来这块:

从我们需要被验证的服务端证书,去拿证书链,如果我们的证书中,有一个和它证书链中的证书匹配的,就返回YES。否则没有匹配。(注意看:在匹配时调用了[serverCertificates reverseObjectEnumerator]这个方法得到一个前边获取的数组反转后的数组,反转前是从叶子节点到根节点,反转后是从根节点到叶子节点。)

这个函数是通过调用系统的相关方法来获取证书链。

如果是AFSSLPinningModePublicKey

先调用AFPublicKeyTrustChainForServerTrust方法从serverTrust中取出服务器端传过来的所有可用的证书,并依次得到相应的公钥。再通过双重遍历并调用方法AFSecKeyIsEqualToKey对比本地的证书公钥和服务器传过来的证书公钥,如果相同的对数大于0,则说明验证通过。

就此整个使用过程分析结束。和上篇的AFNetworkReachabilityManager类似,AFSecurityPolicy是对系统C语言安全库<Security>的一个OC封装,提供了简便易用的OC接口。

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 214,233评论 6 495
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,357评论 3 389
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 159,831评论 0 349
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,313评论 1 288
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,417评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,470评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,482评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,265评论 0 269
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,708评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,997评论 2 328
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,176评论 1 342
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,827评论 4 337
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,503评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,150评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,391评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,034评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,063评论 2 352

推荐阅读更多精彩内容