http协议是应用非常广泛的网络传输协议，基于tcp协议实现数据的传输，多种多样的状态码，请求和响应中得各种字段随着网络的发展不断完善，满足了各种情况下网络数据传输的需求，由客户端发起响应，服务器返回请求内容。但是无法解决的问题就是http是以明文传输数据的，所以数据由客户端的请求到达服务器的中途，很可能被监听，拦截，修改。比如：很早之前用户打开一些网站，屏幕右下角会出现广告，但是并不是该网站发的广告，就是请求内容被运营商中途修改后又返回给用户的，用https传输就很好的解决这个问题。

https的原理网上已经有很多优秀的文章讲解了，主要的运用的加密手段有对称加密，非对称加密，求哈希值。

https是非常简单的，可以根据网上的教程自制证书，也可以用第三方的证书，比如部署腾讯云的免费域名型（DV）SSL证书，会得到证书文件，然后
将域名 www.domain.com 的证书文件1_www.domain.com_bundle.crt 、私钥文件2_www.domain.com.key保存到同一个目录，例如/usr/local/nginx/conf目录下。更新Nginx根目录下 conf/nginx.conf 文件如下：

server {
        listen 443;
        server_name www.domain.com; #填写绑定证书的域名
        ssl on;
        ssl_certificate 1_www.domain.com_bundle.crt;
        ssl_certificate_key 2_www.domain.com.key;
        ssl_session_timeout 5m;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #按照这个协议配置
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;#按照这个套件配置
        ssl_prefer_server_ciphers on;
        location / {
            root   html; #站点目录
            index  index.html index.htm;
        }
    }

配置完成后，先用bin/nginx –t来测试下配置是否有误，正确无误的话，重启nginx。就可以使https://www.domain.com来访问了。

服务器完成后客户端需要使用https访问，以iOS使用AFNetwork3.0来说。

+ (AFSecurityPolicy *)customSecurityPolicy
{
    //先导入证书，找到证书的路径
    NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"你的证书名字" ofType:@"cer"];
    NSData *certData = [NSData dataWithContentsOfFile:cerPath];

    //AFSSLPinningModeCertificate 使用证书验证模式
    AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];

    //allowInvalidCertificates 是否允许无效证书（也就是自建的证书），默认为NO
    //如果是需要验证自建证书，需要设置为YES
    securityPolicy.allowInvalidCertificates = YES;

    //validatesDomainName 是否需要验证域名，默认为YES；
    //假如证书的域名与你请求的域名不一致，需把该项设置为NO；如设成NO的话，即服务器使用其他可信任机构颁发的证书，也可以建立连接，这个非常危险，建议打开。
    //置为NO，主要用于这种情况：客户端请求的是子域名，而证书上的是另外一个域名。因为SSL证书上的域名是独立的，假如证书上注册的域名是www.google.com，那么mail.google.com是无法验证通过的；当然，有钱可以注册通配符的域名*.google.com，但这个还是比较贵的。
    //如置为NO，建议自己添加对应域名的校验逻辑。
    securityPolicy.validatesDomainName = NO;
    NSSet *set = [[NSSet alloc] initWithObjects:certData, nil];
    securityPolicy.pinnedCertificates = set;
    return securityPolicy;
}

其实上面不需要写证书的路径的，只要把证书放在工程目录下只要设置了AFSSLPinningModeCertificate模式，就会自动寻找证书验证，多个证书中必须有一个可以通过验证的才行。一个比较值得注意的问题是，证书都是有有效期的，如果直接把网站的证书放入后，等到证书过期后，app就不在能够连接到服务器.

证书.png

所以如果把1导入工程过期后就无法连接网络，到期后服务器端重新更新比较简单，客户端就很难，网上其他人提供的解决方案是，在证书提前过期的一个版本重新申请证书，然后将新的证书和老的证书同时放入工程，然后让用户强制升级到这个版本及以后的版本，这样的做法不好控制而且用户体验也不好。其实不一定非需要网站证书才能验证，可以用网站证书颁发机构的证书也可以进行验证，就是上面的2或1，我可以把2导出放入工程进行验证，而2的有效期到2026年，所以可以可以避免每次换证书的时候让客户端强制升级的麻烦。一旦选择了AFSSLPinningModeCertificate模式，目录下必须包含可以可以验证通过的证书，否则网络无法连接。这样就保证了数据安全。

https可能造成中间人攻击，会导致数据被监听，简单的例子就是可以通过charles抓包，原理就是iOS手机上安装上charles的根证书，app发起请求的时候，charles会用自己的根证书对请求的网址进行签名生成由charles颁发的证书。发现很多app依然可以通过charles抓包，不清楚原因，有可能是这些app打包的时候将charles根证书放入了工程，也有可能是验证的选项设置有问题，或者干脆没有验证证书，直接使用的是AFSSLPinningModeNone，但是我们的app实验是无法通过charles抓包的。能够被抓包有哪些危害呢，可以分析你的项目设计思路，设计方案被其他人偷取，服务器存在的资源会被别人用爬虫直接拿走，比如需要做一款单词软件，但是没有资源，就可以直接抓取其他app的数据拿来自己使用，所以https保护数据安全还是非常必要的，否则你只能自己设计加密算法去加密传输的数据。目前在已知的iOS版本的app上，貌似只有简书app在安装了charles证书的情况下不能抓包看到数据，因为一抓包就会提示网络错误，其他的很多app都能看到数据，或者是有时可以，有时不可以。