自从https推出以后,客户端对网络安全的要求程度也越来越高。甚至在iOS9之后,苹果强制要求必须支持https请求。
https是什么呢?它又是如何保证数据安全的呢?
简单来说,https就是http+TLS/SSL。就是在http上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过TLS进行加密,也就说传输中的数据都是加密的,如果不知道私钥,是无法真正知道传输内容的真正意思的。
整个https单向验证流程简单总结如下:
当然这仅仅是一个单向认证,https还会有双向认证,相对于单向认证也很简单。仅仅多了服务端验证客户端这一步。
那么在AFNetworking中,我们要完成自签名证书配置:
// 自签名证书在路径 NSString *certFilePath = [[NSBundle mainBundle] pathForResource:@"service" ofType:@"cer"]; // 自签名证书转换成二进制数据 NSData *certData = [NSData dataWithContentsOfFile:certFilePath]; // 将二进制数据放到NSSet中 NSSet *certSet = [NSSet setWithObject:certData]; /* AFNetworking中的AFSecurityPolicy实例化方法 第一个参数: AFSSLPinningModeNone, //不验证 AFSSLPinningModePublicKey, //只验证公钥 AFSSLPinningModeCertificate, //验证证书 第二个参数:存放二进制证书数据的NSSet */ AFSecurityPolicy *policy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate withPinnedCertificates:certSet]; // shareManager 是继承自AFHTTPSessionManager的一个类的实例对象 sharedManager.securityPolicy = policy;
这样在请求时,如果服务器要校验自签名证书就会调用AFSecurityPolicy类中以下方法
- (BOOL)evaluateServerTrust:(SecTrustRef)serverTrust forDomain:(NSString *)domain
AFNetworking就是在这个方法中进行的单向验证。如果有需要双向验证的也需要重写这个方法,以实现双向验证。(双向验证在银行类等app中使用的较多)
在该方法中使用自签名证书可能会出现的一个问题就是
[pinnedCertificates addObject:(__bridge_transfer id)SecCertificateCreateWithData(NULL, (__bridge CFDataRef)certificateData)];
这行代码有可能数组中添加了nil,即自签名证书没有获取到。
解决方法:
其本质原因是后端的自签名证书需要进行base64反编码才能使用。
总结语:
通过对自签名证书这块的研究,对https有了更加深入、更深刻的认识,同时对AFNetworking中AFSecurityPolicy的源码进行了阅读和理解。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持菜鸟教程(cainiaojc.com)。
声明:本文内容来源于网络,版权归原作者所有,内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:notice#cainiaojc.com(发邮件时,请将#更换为@)进行举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。