安在信息安全新媒体 2017-12-25
首先,配置https服务器需要一个证书,这个证书可以从某些机构获得,也可以自己通过工具生成。
这样的请求不会触发Apple的相关代理方法(URLSession:task:didReceiveChallenge:completionHandler:)所以无论是AFNetWorking还是Alamofire都不需要进行任何处理,即可正常使用。
AFSecurityPolicy分三种验证模式:
AFSSLPinningModeCertificate 比较安全但也比较麻烦,它会比对你打包的证书跟服务器的证书是否一致。因为你的证书是跟 APP 一起打包的,这也就代表说如果你的证书过期了或是变动了,你就得出一版新的 APP 而且旧版 APP 的证书就失效了。你也可以在每次 APP 启动时,就自动连到某個服务器下载最新的证书,不过此时这个下载连线就会是有风险的。
AFSSLPinningModePublicKey 则是只比对证书里的 public key,所以即使服务器证书有所变动,只要 public key 不变,就能通过验证。
所以如果你能确保每个使用者总是使用最新版本的 APP(例如是公司企业内部专用的),那就可以考虑AFSSLPinningModeCertificate,否則的话选择 AFSSLPinningModePublicKey 是比较实际的作法。
AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate]; /* allowInvalidCertificates 是否允许无效证书(也就是自建的证书),默认为NO 如果是需要验证自建证书,需要设置为YES */ securityPolicy.allowInvalidCertificates = YES; /* validatesDomainName 是否需要验证域名,默认为YES。 假如证书的域名与你请求的域名不一致,需把该项设置为NO 主要用于这种情况:客户端请求的是子域名,而证书上的 是另外一个域名。因为SSL证书上的域名是独立的,假如证书上注册的域名是www.google.com,那么mail.google.com是无法验证通过的;当然,有钱可以注册通配符的域名*.google.com,但这个还是比较贵的。 */ securityPolicy.validatesDomainName = NO; /* validatesCertificateChain 是否验证整个证书链,默认为YES 设置为YES,会将服务器返回的Trust Object上的证书链与本地导入的证书进行对比,这就意味着,假如你的证书链是这样的: GeoTrust Global CA Google Internet Authority G2 *.google.com 那么,除了导入*.google.com之外,还需要导入证书链上所有的CA证书(GeoTrust Global CA, Google Internet Authority G2); 如是自建证书的时候,可以设置为YES,增强安全性;假如是信任的CA所签发的证书,则建议关闭该验证; */ securityPolicy.validatesCertificateChain = NO;
AFHTTPSessionManager *manager = [AFHTTPSessionManager manager]; /* 创建AFSecurityPolicy有两种方式。 第一种方式是让AFN在Bundle里面自动寻找并尝试匹配。 第二种方式是直接指定证书的位置 */ AFSecurityPolicy *securityPolicy = [[AFSecurityPolicy alloc] init]; [securityPolicy setAllowInvalidCertificates:NO]; [securityPolicy setSSLPinningMode:AFSSLPinningModeCertificate]; [securityPolicy setValidatesDomainName:YES]; [securityPolicy setValidatesCertificateChain:NO]; NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"name" ofType:@"cer"]; NSData *certData = [NSData dataWithContentsOfFile:cerPath]; AFSecurityPolicy *securityPolicy = [[AFSecurityPolicy alloc] init]; [securityPolicy setAllowInvalidCertificates:NO]; [securityPolicy setPinnedCertificates:@[certData]]; [securityPolicy setSSLPinningMode:AFSSLPinningModeCertificate]; [securityPolicy setValidatesDomainName:YES]; [securityPolicy setValidatesCertificateChain:NO]; manager.securityPolicy = securityPolicy;
ServerTrustPolicy分六种验证方式
默认的策略,只有合法证书才能通过验证
对注销证书做的一种额外设置,不是很明白这里,有兴趣的朋友可以最近查一下。
代表客户端会将服务器端返回的证书和本地保存的证书中的【所有内容】,全部进行校验;如果正确,才继续进行。
代表客户端会将服务器端返回的证书与本地保存的证书中的【PublicKey部分】进行校验;如果正确,才继续进行。
该选项下,验证一直都是通过的,也就是说无条件信任
自定义验证,需要返回一个布尔类型的结果
这里最好是封装一个SessionManger的单例进行统一处理。Swift的https验证策略,支持一次对多个域名进行设置。
let serverTrustPolicies: [String: ServerTrustPolicy] = [ "test.example.com": .pinCertificates( certificates: ServerTrustPolicy.certificates(), validateCertificateChain: true, validateHost: true ), "insecure.expired-apis.com": .disableEvaluation ] let manger = SessionManager(serverTrustPolicyManager: ServerTrustPolicyManager(policies: serverTrustPolicies))