上圖是google.com的證書，這是個(gè)客戶證書(client certificate)，不可再簽發(fā)子證書，所以由該證書簽發(fā)的子證書是不會(huì)被信任的。

了解了上面關(guān)于SSL/TSL通信加密策略以及數(shù)字證書的概念之后，對(duì)HTTPS的安全機(jī)制就有了個(gè)初步的了解，下面我們看如何在iOS上實(shí)現(xiàn)對(duì)HTTPS的支持。

2. 實(shí)現(xiàn)支持HTTPS

首先，需要明確你使用HTTP/HTTPS的用途，因?yàn)镺SX和iOS平臺(tái)提供了多種API，來(lái)支持不同的用途，官方文檔《Making HTTP and HTTPS Requests》有詳細(xì)的說(shuō)明，而文檔《HTTPS Server Trust Evaluation》則詳細(xì)講解了HTTPS驗(yàn)證相關(guān)知識(shí)，這里就不多說(shuō)了。本文主要講解我們最常用的NSURLConnection支持HTTPS的實(shí)現(xiàn)（NSURLSession的實(shí)現(xiàn)方法類似，只是要求授權(quán)證明的回調(diào)不一樣而已），以及怎么樣使用AFNetworking這個(gè)非常流行的第三方庫(kù)來(lái)支持HTTPS。本文假設(shè)你對(duì)HTTP以及NSURLConnection的接口有了足夠的了解。

驗(yàn)證證書的API

相關(guān)的Api在Security Framework中，驗(yàn)證流程如下：

1). 第一步，先獲取需要驗(yàn)證的信任對(duì)象(Trust Object)。這個(gè)Trust Object在不同的應(yīng)用場(chǎng)景下獲取的方式都不一樣，對(duì)于NSURLConnection來(lái)說(shuō)，是從delegate方法-connection:willSendRequestForAuthenticationChallenge:回調(diào)回來(lái)的參數(shù)challenge中獲取([challenge.protectionSpace serverTrust])。

2). 使用系統(tǒng)默認(rèn)驗(yàn)證方式驗(yàn)證Trust Object。SecTrustEvaluate會(huì)根據(jù)Trust Object的驗(yàn)證策略，一級(jí)一級(jí)往上，驗(yàn)證證書鏈上每一級(jí)數(shù)字簽名的有效性（上一部分有講解），從而評(píng)估證書的有效性。

3). 如第二步驗(yàn)證通過(guò)了，一般的安全要求下，就可以直接驗(yàn)證通過(guò)，進(jìn)入到下一步：使用Trust Object生成一份憑證([NSURLCredential credentialForTrust:serverTrust])，傳入challenge的sender中([challenge.sender useCredential:cred forAuthenticationChallenge:challenge])處理，建立連接。

4). 假如有更強(qiáng)的安全要求，可以繼續(xù)對(duì)Trust Object進(jìn)行更嚴(yán)格的驗(yàn)證。常用的方式是在本地導(dǎo)入證書，驗(yàn)證Trust Object與導(dǎo)入的證書是否匹配。更多的方法可以查看Enforcing Stricter Server Trust Evaluation，這一部分在講解AFNetworking源碼中會(huì)講解到。

5). 假如驗(yàn)證失敗，取消此次Challenge-Response Authentication驗(yàn)證流程，拒絕連接請(qǐng)求。

ps: 假如是自建證書的，則不使用第二步系統(tǒng)默認(rèn)的驗(yàn)證方式，因?yàn)樽越ㄗC書的根CA的數(shù)字簽名未在操作系統(tǒng)的信任列表中。

iOS授權(quán)驗(yàn)證的API和流程大概了解了，下面，我們看看在NSURLConnection中的代碼實(shí)現(xiàn)：

使用NSURLConnection支持HTTPS的實(shí)現(xiàn)

// Now start the connectionNSURL*httpsURL=[NSURLURLWithString:@"https://www.google.com"];self.connection=[NSURLConnectionconnectionWithRequest:[NSURLRequestrequestWithURL:httpsURL]delegate:self];//回調(diào)-(void)connection:(NSURLConnection*)connectionwillSendRequestForAuthenticationChallenge:(NSURLAuthenticationChallenge*)challenge{//1)獲取trust objectSecTrustReftrust=challenge.protectionSpace.serverTrust;SecTrustResultTyperesult;//2)SecTrustEvaluate對(duì)trust進(jìn)行驗(yàn)證OSStatusstatus=SecTrustEvaluate(trust,&result);if(status==errSecSuccess&&(result==kSecTrustResultProceed||result==kSecTrustResultUnspecified)){//3)驗(yàn)證成功，生成NSURLCredential憑證cred，告知challenge的sender使用這個(gè)憑證來(lái)繼續(xù)連接NSURLCredential*cred=[NSURLCredentialcredentialForTrust:trust];[challenge.senderuseCredential:credforAuthenticationChallenge:challenge];}else{//5)驗(yàn)證失敗，取消這次驗(yàn)證流程[challenge.sendercancelAuthenticationChallenge:challenge];}}

上面是代碼是通過(guò)系統(tǒng)默認(rèn)驗(yàn)證流程來(lái)驗(yàn)證證書的。假如我們是自建證書的呢？這樣Trust Object里面服務(wù)器的證書因?yàn)椴皇强尚湃蔚腃A簽發(fā)的，所以直接使用SecTrustEvaluate進(jìn)行驗(yàn)證是不會(huì)成功。又或者，即使服務(wù)器返回的證書是信任CA簽發(fā)的，又如何確定這證書就是我們想要的特定證書？這就需要先在本地導(dǎo)入證書，設(shè)置成需要參與驗(yàn)證的Anchor Certificate（錨點(diǎn)證書，通過(guò)SecTrustSetAnchorCertificates設(shè)置了參與校驗(yàn)錨點(diǎn)證書之后，假如驗(yàn)證的數(shù)字證書是這個(gè)錨點(diǎn)證書的子節(jié)點(diǎn)，即驗(yàn)證的數(shù)字證書是由錨點(diǎn)證書對(duì)應(yīng)CA或子CA簽發(fā)的，或是該證書本身，則信任該證書），再調(diào)用SecTrustEvaluate來(lái)驗(yàn)證。代碼如下

//先導(dǎo)入證書NSString*cerPath=...;//證書的路徑NSData*cerData=[NSDatadataWithContentsOfFile:cerPath];SecCertificateRefcertificate=SecCertificateCreateWithData(NULL,(__bridgeCFDataRef)(cerData));self.trustedCertificates=@[CFBridgingRelease(certificate)];//回調(diào)-(void)connection:(NSURLConnection*)connectionwillSendRequestForAuthenticationChallenge:(NSURLAuthenticationChallenge*)challenge{//1)獲取trust objectSecTrustReftrust=challenge.protectionSpace.serverTrust;SecTrustResultTyperesult;//注意：這里將之前導(dǎo)入的證書設(shè)置成下面驗(yàn)證的Trust Object的anchor certificateSecTrustSetAnchorCertificates(trust,(__bridgeCFArrayRef)self.trustedCertificates);//2)SecTrustEvaluate會(huì)查找前面SecTrustSetAnchorCertificates設(shè)置的證書或者系統(tǒng)默認(rèn)提供的證書，對(duì)trust進(jìn)行驗(yàn)證OSStatusstatus=SecTrustEvaluate(trust,&result);if(status==errSecSuccess&&(result==kSecTrustResultProceed||result==kSecTrustResultUnspecified)){//3)驗(yàn)證成功，生成NSURLCredential憑證cred，告知challenge的sender使用這個(gè)憑證來(lái)繼續(xù)連接NSURLCredential*cred=[NSURLCredentialcredentialForTrust:trust];[challenge.senderuseCredential:credforAuthenticationChallenge:challenge];}else{//5)驗(yàn)證失敗，取消這次驗(yàn)證流程[challenge.sendercancelAuthenticationChallenge:challenge];}}

建議采用本地導(dǎo)入證書的方式驗(yàn)證證書，來(lái)保證足夠的安全性。更多的驗(yàn)證方法，請(qǐng)查看官方文檔《HTTPS Server Trust Evaluation》

使用AFNetworking來(lái)支持HTTPS

AFNetworking是iOS/OSX開(kāi)發(fā)最流行的第三方開(kāi)源庫(kù)之一，其作者是非常著名的iOS/OSX開(kāi)發(fā)者M(jìn)attt Thompson，其博客NSHipster也是iOS/OSX開(kāi)發(fā)者學(xué)習(xí)和開(kāi)闊技術(shù)視野的好地方。AFNetworking已經(jīng)將上面的邏輯代碼封裝好，甚至更完善，在AFSecurityPolicy文件中，有興趣可以閱讀這個(gè)模塊的代碼；

AFNetworking上配置對(duì)HTTPS的支持非常簡(jiǎn)單：

NSURL*url=[NSURLURLWithString:@"https://www.google.com"];AFHTTPRequestOperationManager*requestOperationManager=[[AFHTTPRequestOperationManageralloc]initWithBaseURL:url];dispatch_queue_trequestQueue=dispatch_create_serial_queue_for_name("kRequestCompletionQueue");requestOperationManager.completionQueue=requestQueue;AFSecurityPolicy*securityPolicy=[AFSecurityPolicypolicyWithPinningMode:AFSSLPinningModeCertificate];//allowInvalidCertificates 是否允許無(wú)效證書（也就是自建的證書），默認(rèn)為NO//如果是需要驗(yàn)證自建證書，需要設(shè)置為YESsecurityPolicy.allowInvalidCertificates=YES;//validatesDomainName 是否需要驗(yàn)證域名，默認(rèn)為YES；//假如證書的域名與你請(qǐng)求的域名不一致，需把該項(xiàng)設(shè)置為NO；如設(shè)成NO的話，即服務(wù)器使用其他可信任機(jī)構(gòu)頒發(fā)的證書，也可以建立連接，這個(gè)非常危險(xiǎn)，建議打開(kāi)。//置為NO，主要用于這種情況：客戶端請(qǐng)求的是子域名，而證書上的是另外一個(gè)域名。因?yàn)镾SL證書上的域名是獨(dú)立的，假如證書上注冊(cè)的域名是www.google.com，那么mail.google.com是無(wú)法驗(yàn)證通過(guò)的；當(dāng)然，有錢可以注冊(cè)通配符的域名*.google.com，但這個(gè)還是比較貴的。//如置為NO，建議自己添加對(duì)應(yīng)域名的校驗(yàn)邏輯。securityPolicy.validatesDomainName=YES;//validatesCertificateChain 是否驗(yàn)證整個(gè)證書鏈，默認(rèn)為YES//設(shè)置為YES，會(huì)將服務(wù)器返回的Trust Object上的證書鏈與本地導(dǎo)入的證書進(jìn)行對(duì)比，這就意味著，假如你的證書鏈?zhǔn)沁@樣的：//GeoTrust Global CA//? ? Google Internet Authority G2//? ? ? ? *.google.com//那么，除了導(dǎo)入*.google.com之外，還需要導(dǎo)入證書鏈上所有的CA證書（GeoTrust Global CA, Google Internet Authority G2）；//如是自建證書的時(shí)候，可以設(shè)置為YES，增強(qiáng)安全性；假如是信任的CA所簽發(fā)的證書，則建議關(guān)閉該驗(yàn)證，因?yàn)檎麄€(gè)證書鏈一一比對(duì)是完全沒(méi)有必要（請(qǐng)查看源代碼）；securityPolicy.validatesCertificateChain=NO;requestOperationManager.securityPolicy=securityPolicy;

這就是AFNetworking的支持HTTPS的主要配置說(shuō)明，AFHTTPSessionManager與之基本一致，就不重復(fù)了。

3. 總結(jié)

雖然HTTPS相比于HTTP來(lái)說(shuō)，會(huì)有一定的性能上的劣勢(shì)，但對(duì)于網(wǎng)絡(luò)飛速發(fā)展，移動(dòng)設(shè)備的性能成倍增長(zhǎng)的今天，安全才是我們更應(yīng)該去考慮的。全網(wǎng)HTTPS并不是那么遙遠(yuǎn)。

下一篇準(zhǔn)備講內(nèi)存數(shù)據(jù)安全和持久化數(shù)據(jù)的安全，敬請(qǐng)期待。

版權(quán)所有，轉(zhuǎn)載請(qǐng)保留Jaminzzhang署名

本頁(yè)內(nèi)容由塔燈網(wǎng)絡(luò)科技有限公司通過(guò)網(wǎng)絡(luò)收集編輯所得，所有資料僅供用戶學(xué)習(xí)參考，本站不擁有所有權(quán)，如您認(rèn)為本網(wǎng)頁(yè)中由涉嫌抄襲的內(nèi)容，請(qǐng)及時(shí)與我們聯(lián)系，并提供相關(guān)證據(jù)，工作人員會(huì)在5工作日內(nèi)聯(lián)系您，一經(jīng)查實(shí)，本站立刻刪除侵權(quán)內(nèi)容。本文鏈接:http://jstctz.cn/20413.html