Swift使用HTTPS


关于iOS中使用HTTPS这件事情,很长时间一直没有彻底弄清楚。看了别人很多文章,今天终于基本都搞清楚了所有疑问,这里抽关键点来讲一讲。以回答问题的方式。

1. HTTPS到底是个什么鬼?

SSL/TSL+HTTP
就是在HTTP传输之前,先给数据做非对称加密,客户端用公钥加解密,服务器用私钥加解密。公钥大家都可见,私钥保密,不能外泄。

HTTPS主要目的是保证传输通道的安全性

  • 对于请求数据(Request),中间人没有私钥无法解密,看不到原始请求数据
  • 对于服务器的响应数据(Response),中间人虽然有公钥,可以解密,但是没有私钥,改了数据也没法重新加密

综上,所以中间人就无法修改通信数据。

2. 证书又是个什么鬼?

  • 数字证书是由证书认证机构(CA)对证书申请者真实身份验证之后,用CA的根证书对申请人的一些基本信息以及申请人的公钥进行签名(相当于加盖发证书机构的公章)后形成的一个数字文件。CA完成签发证书后,会将证书发布在CA的证书库(目录服务器)中,任何人都可以查询和下载,因此数字证书和公钥一样是公开的。
  • 每个证书持有人都有一对公钥和私钥,这两把密钥可以互为加解密。公钥是公开的,不需要保密,而私钥是由证书持有人自己持有,并且必须妥善保管和注意保密
  • 简单地说,数字证书就是经过CA认证过的公钥,而私钥一般情况都是由证书持有者在自己本地生成的,由证书持有者自己负责保管。

3. 证书认证机构(CA)签发的证书怎么用?

此类证书,iOS端开发什么都不用处理,获取并校验证书的过程底层已经帮忙完成了,具体是SSL层还是苹果的ATS做的我也没有彻底弄清楚(估计应该是ATS做的,如果你知道,请赐教!)

4. 自签证书怎么用?

自签名的证书iOS9.0之后的系统通过不了ATS,所以要做一些适配:

  • 证书导出.cer文件拷贝到项目目录
  • 然后在 info.plist 中添加
    <key>NSAppTransportSecurity</key><dict>
    <key>NSAllowsArbitraryLoads</key>
    <true/></dict>
  • 在NSURLSessionDataDelegate的对应回调方法中自己校验证书合法行,然后告诉服务器校验结果:

具体代理方法:

func urlSession(_ session: URLSession, didReceive challenge: URLAuthenticationChallenge, completionHandler: @escaping (URLSession.AuthChallengeDisposition, URLCredential?) -> Void)

具体代码:

/**
    a delegate method to check whether the remote cartification is the same with given certification.
    
    - parameter session:           NSURLSession
    - parameter challenge:         NSURLAuthenticationChallenge
    - parameter completionHandler: the completionHandler closure
    */
    @objc(URLSession:didReceiveChallenge:completionHandler:) func urlSession(_ session: URLSession, didReceive challenge: URLAuthenticationChallenge, completionHandler: @escaping (URLSession.AuthChallengeDisposition, URLCredential?) -> Void) {
        if let localCertificateData = self.localCertData {
            
            if let serverTrust = challenge.protectionSpace.serverTrust,
                let certificate = SecTrustGetCertificateAtIndex(serverTrust, 0) {
                let remoteCertificateData: Data = SecCertificateCopyData(certificate) as Data
                
                // 证书校验:这里直接比较本地证书文件内容 和 服务器返回的证书文件内容
                if localCertificateData as Data == remoteCertificateData {
                    
                    let credential = URLCredential(trust: serverTrust)
                    challenge.sender?.use(credential, for: challenge)
                    
                    // 证书校验通过
                    completionHandler(Foundation.URLSession.AuthChallengeDisposition.useCredential, credential)
                } else {
                    challenge.sender?.cancel(challenge)
                    
                    // 证书校验不通过
                    completionHandler(Foundation.URLSession.AuthChallengeDisposition.cancelAuthenticationChallenge, nil)
                    self.sSLValidateErrorCallBack?()
                }
            } else {
                // could not tested
                print("Pitaya: Get RemoteCertificateData or LocalCertificateData error!")
            }
        } else {
            completionHandler(Foundation.URLSession.AuthChallengeDisposition.useCredential, nil)
        }
    }

使用第三方框架,过程是一样的,只是框架加了一层自己的方法,暴露出来的方法不一样而已。

5. 补充

iOS对证书是有要求的:

  • 必须是苹果信任的CA证书机构颁发的证书

  • 后台传输协议必须满足: TLS1.2 (这很重要, 后面的自制证书满足这个条件是前提)

  • 签字算法只能是下面的一种:


  • 证书必须使用SHA256或者更好的哈希算法进行签名,要么是2048位或者更长的RSA密钥,要么就是256位或更长的ECC密钥。

6. 参考

Swift - 使用URLSession通过HTTPS进行网络请求,及证书的使用
Swift - HTTP网络操作库Alamofire使用详解
关于HTTPS,APP开发者必须知道的事
HTTPS接口加密和身份认证
CA证书相关的一些基础知识

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,222评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,455评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,720评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,568评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,696评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,879评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,028评论 3 409
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,773评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,220评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,550评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,697评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,360评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,002评论 3 315
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,782评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,010评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,433评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,587评论 2 350

推荐阅读更多精彩内容