引言
所有iOS的开发者都应该知道,2016年以来苹果在不断地收紧对于HTTP网络连接的限制,强力推行全部使用HTTPS进行网络连接。之前还能有手段能绕过这个问题,而到了2017年1月1日,将要求所有App必须使用HTTPS。所以iOS开发者们不得不被逼着上HTTPS,但是这似乎也带来了一个好处,后面再说。
HTTPS
先说说HTTPS是什么。
大家以前用的都是HTTP协议进行网络连接,用的太多了以致很多人甚至不会注意到它。但是用HTTP也有一些问题:
- 通信内容使用的是明文传输,就可能会被窃听。
- 没有对通信方的身份进行验证,就可能被伪造身份。
- 无法证明报文的完整性,就可能被篡改内容。
而HTTPS就是为了防止以上问题而出现的:
HTTP + 加密 + 认证 + 完整性保护 = HTTPS
需要注意的是,HTTPS并不是一种新协议,只是HTTP通信接口部分使用SSL和TLS协议代替而已。通常HTTP直接和TCP通信,当使用SSL时,就演变成先和SSL通信,再由SSL和TCP通信了。
怎么实现加密的呢?通常我们可以直接使用同一个密钥在客户端和服务端进行加解密,但是如果这个密钥泄露了,就无法到达加密的目的了。还有一种加密方式是非对称性的公开密钥加密,有一个公钥和一个私钥,公钥,公钥是公开的,私钥是自己保存的,这样就可以实现彻底加密了。但是这种方式比较耗时,因此HTTPS的做法是:建立连接时先用耗时的非对称性公开密钥进行通信,将后续要使用的共享密钥进行传输,这样密钥就安全地传输了,之后再使用比较高效的共享密钥加密方式,使用秘密传输的密钥进行加解密。
然而公钥依然存在问题,可能会被替换或者别的情况,因此出现了一些数字证书认证机构颁发的公钥,也就是数字证书。遗憾的是,这种证书往往都需要缴纳费用来使用,因此很多系统都依然使用自己生成的证书来进行通信,我们使用浏览器时有时在访问https网站时看到绿色的锁,就说明是正规的数字证书认证机构颁发的证书,如果是自生成的就是红色的锁,这时浏览器也会提醒你网站可能是不安全的。比较著名的例子就是12306。
使用正规机构颁发的证书还有一个好处就是,这些证书往往已经存在于浏览器、iOS、Android中了, 也就是说如果使用这些证书,浏览器、iOS、Android都可以自动识别,不需要做任何配置。但如果使用自生成的证书,则需要下载安装证书,或者在App工程中配置自生成的证书文件。带来的后果就是用户体验的不足以及可能的应用商店审核被拒。
关于以上内容,有一本书可以推荐一下,写的简明易懂:《图解HTTP》
iOS配置HTTPS
正规证书
上面说了,如果是正规的数字证书认证机构颁发的证书,就不需要进行任何配置,记得将url前面加上https即可正常访问,达到加密以及通过审核的目的。但是缺点是要钱,而且费用不低。
但是!好消息!好消息!好消息!!!
阿里云和腾讯云现在提供免费的正规证书使用了!
腾讯云提供的没用不清楚,但是阿里云提供的免费证书有效期为一年,一年后能不能重新免费再配一个就不清楚了。但是这个证书是正规的,亲测有效,用了再说,省了一大笔麻烦。
下面提供一些传送门:
- 阿里云服务器配置证书教程:阿里云的文档简直是业界楷模
- 阿里云证书购买(选择免费的那个) :选择免费的那个,看看其余的价格就是费用确实不低了
- 阿里云配置苹果ATS帮助文档:很贴心地针对苹果的要求专门写了个服务器端的配置注意事项,其实从阿里云和腾讯云都退出了免费的证书来看,很好奇苹果的强力要求是不是对https的普及和平民化起到了一定的推动作用
- 腾讯云检测ATS支持度:腾讯贴心地推出了一个供大家检测自家服务器配置后是否符合苹果要求的服务,哪里不足哪里满足都很详细,进一步加强了我上面的推测,这个对于证书的检测还算准,但是服务器那边的检测似乎对我用的阿里云服务器的配置非常不友好,我都亲测成功了依然显示不符合,存在故意诱导我使用腾讯云自家的证书的嫌疑,如下图:
如果是使用这种方式,或者土豪地买正规证书,那服务器配完,工程url前面加个url就完事了,完美解决,浏览器会加上可爱的绿锁,iOS和Android都自动支持,不需要任何配置,省时省心,我也是配完后才发现其实可以不配。。。
自生成证书
但如果在如此大好的环境下还想用自生成的证书,那么除了服务器的配置要满足苹果的要求外(要求见上方阿里云的文档),工程内也需要做一些配置。
首先,需要把证书放到工程内,必须是cer格式的,证书有多重格式,不同格式的转换见这个网站。是可以在mac的终端中直接输入命令行转换的。
放到工程内后,去 info.plist 中增加如下图的配置:
此外,还需要对网络请求部分的代码进行修改,因为要告诉它接受这个证书。这里,就要针对你使用的不同的网络请求方式有不同的设置了。
NSURLConnection
其实这个在iOS 9中已经废弃被NSURLSession取代了,不过还是说一下,直接添加下面的代理方法就可以了:
- (void)connection:(NSURLConnection *)connection willSendRequestForAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge{ if(challenge.protectionSpace.authenticationMethod == NSURLAuthenticationMethodServerTrust) { // 告诉服务器,客户端信任证书
// 创建凭据对象
NSURLCredential *credntial = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust]; // 告诉服务器信任证书
[challenge.sender useCredential:credntial forAuthenticationChallenge:challenge];
}
}
NSURLSession
系统自带的类中现在就是推荐使用这个类,参考如下代码设置:
- (void)URLSession:(NSURLSession *)session task:(NSURLSessionTask *)task didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition disposition, NSURLCredential * __nullable credential))completionHandler {
// 判断是否是信任服务器证书
if(challenge.protectionSpace.authenticationMethod == NSURLAuthenticationMethodServerTrust) {
// 告诉服务器,客户端信任证书
// 创建凭据对象
NSURLCredential *credntial = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];
// 通过completionHandler告诉服务器信任证书
completionHandler(NSURLSessionAuthChallengeUseCredential,credntial);
}
NSLog(@"protectionSpace = %@",challenge.protectionSpace);
}
AFNetworking 2.x版本
随着iOS 9中对NSURLConnection的废弃, AFNetworking 3.0也做出了修改,不过还是有用2.新版本的,我们只用在原来使用AFHTTPRequestOperationManager类进行网络请求的基础上,改变它的安全策略并配置证书:
AFHTTPRequestOperationManager *manager = [AFHTTPRequestOperationManager manager];
// https ================
AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];// 证书模式
NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"证书名字" ofType:@"cer"];
NSData *cerData = [NSData dataWithContentsOfFile:cerPath];
securityPolicy.pinnedCertificates = [[NSArray alloc] initWithObjects:cerData, nil];// 配置证书
securityPolicy.allowInvalidCertificates = YES;// 客户端是否信任非法证书
[securityPolicy setValidatesDomainName:NO];// 是否在证书域字段中验证域名
manager.securityPolicy = securityPolicy;
// ======================
// 常规的进行POST、GET等请求操作
// ...
AFNetworking 3.x版本
新的版本的里废弃了基于NSURLConnection封装的AFHTTPRequestOperationManager,转而使用基于NSURLSession封装的AFHTTPSessionManager了。
AFHTTPSessionManager *manager = [AFHTTPSessionManager manager];
// https ================
AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];// 证书模式
NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"证书名字" ofType:@"cer"];
NSData *cerData = [NSData dataWithContentsOfFile:cerPath];
securityPolicy.pinnedCertificates = [[NSArray alloc] initWithObjects:cerData, nil];// 配置证书
securityPolicy.allowInvalidCertificates = YES;// 客户端是否信任非法证书
[securityPolicy setValidatesDomainName:NO];// 是否在证书域字段中验证域名
manager.securityPolicy = securityPolicy;
// ======================
// 常规的进行POST、GET等请求操作
// ...
以上,就是常用的网络请求方式下对自生成证书的配置了,如果用的是正规证书,配置了这些也不影响,不过其实已经可以自动识别了,强行配置了以后证书失效后还需要更改工程中的证书,到时候可能老版本就有问题了。
结语
现在,应该就可以应付苹果的要求了,而且App的网络请求时安全的了,对于一些数据敏感的应用或者涉及金额交易的应用应该会带来大大的安心,其实现在既然已经有免费的正规证书了,那么上一波HTTPS也是有百利而无一害的,真切感觉苹果的这一措施推动了其发展。
除了自己对服务器的请求全上HTTPS以外,如果使用到了一些第三方的库或者服务,可能它们反而没有上,这时候就可能面临苹果审核出问题了,所以要进行说明是它们自己不上的我也没有办法,不过一般都会上吧。
