您好,欢迎来到伴沃教育。
科技 教育 生活 旅游 时尚 美容 美食 健康 体育 游戏 汽车 家电
搜索
您的当前位置:首页iOS http更改https和afnetworking 配置

iOS http更改https和afnetworking 配置

来源:伴沃教育

WWDC 2016苹果开发者大会上,苹果在讲解全新的iOS 10中提到了数据安全这一方面,并且苹果宣布iOS应用将从2017年1月起启用名为App Transport Security(ATS)的安全传输功能。

App Transport Security(简称ATS)特性, 主要使到原来请求的时候用到的HTTP,都转向TLS1.2协议进行传输。这也意味着所有的HTTP协议都强制使用了HTTPS协议进行传输(当然也是有过程,详情见结尾处)。并且对HTTPS也做了以下三点要求,否则返回为nil:

  • 首先必须要基于TLS 1.2版本协议
  • 证书至少要使用一个SHA256的指纹与任一个2048位或者更高位的RSA密钥,或者是256位或者更高位的ECC密钥
  • 连接的加密方式要提供向前加密

HTTPS

HTTPS和HTTP的区别主要为以下四点:

  • https协议需要到ca申请证书,一般免费证书很少,需要交费。
  • http是超文本传输协议,信息是明文传输,https 则是具有安全性的SLL/TLS(两种叫法,)加密传输协议(非对称加密,)。
  • http和https不同的连接方式,用的端口也不一样,前者是80,后者是443。
  • http的连接很简单,是无状态的;HTTPS协议是由SSL(做了加密)+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。

HTTPS的服务器配置的证书分两大类,一类是经过权威机构签名颁发的证书,花钱买,免费的也有(CA证书)。另一类就是服务器配置的是研发人员自己创建的证书(自建证书)。

AFNetworking

AFNetworking可以内嵌自建证书通过比对服务器端证书、内嵌的证书,站点域名是否一致来验证连接的服务器是否匹配。(来防止中间人,比如金青花瓷等软件)。

开终端下载或者直接让后台给你
openssl s_client -connect  </dev/null 2>/dev/null | openssl x509 -outform DER > api.cer

//服务器端包含公钥的证书分发到客户端后,需要转换为DER格式的证书文件. 
//openssl x509 -outform der -in name.crt -out name.der

    NSString *certFilePath = [[NSBundle mainBundle] 
pathForResource:@"api" ofType:@"der"];
    NSData *certData = [NSData dataWithContentsOfFile:certFilePath];
    NSSet *certSet = [NSSet setWithObject:certData];
//pinnedCertificates,校验服务器返回证书的证书,AF自动寻找
    AFSecurityPolicy *policy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModePublicKey withPinnedCertificates:certSet];
//因为使用自建证书,所以要开启允许非法证书
    policy.allowInvalidCertificates = YES;
  //检验证书omain字段和服务器的是否匹配
    policy.validatesDomainName = YES;
//af2.6之后拿掉了validatesCertificateChain:检验证书链条
    AFHTTPSessionManager *manager = [AFHTTPSessionManager manager];
    manager.securityPolicy = policy;

    [manager GET:@"api" parameters:nil progress:nil success:^(NSURLSessionDataTask * _Nonnull task, id  _Nullable responseObject) {
        NSLog(@"%@",responseObject);
    } failure:^(NSURLSessionDataTask * _Nullable task, NSError * _Nonnull error) {
        NSLog(@"%@",error);
    }];

ATS默认只对采用权威机构签名颁发证书的站点进行访问(信任的HTTPS),
而自签的证书的HTTPS站点则是不信任的HTTPS,所以我们仍要在App的Info.plist为Allow Arbitrary Loads全部放开。更好的方式是开放局部,同样在info.plist中设置:

 <key>NSAppTransportSecurity</key>
    <dict>
        <key>NSExceptionDomains</key>
        <dict>
            
            <dict>
                <key>NSExceptionAllowsInsecureHTTPLoads</key>
                <true/>
            </dict>
        </dict>
    </dict>

HTTPS最核心便是服务器的私钥。私钥都在服务器。客户端下载导入的证书里已经预留了公钥。公钥加密,私钥解密,大大的降低了被中间人破解的可能性。

最新情况(摘自社区)

First up, there have been no changes to the technical behaviour of ATS (other than the addition of NSAllowsArbitraryLoadsInWebContent and NSRequiresCertificateTransparency). From a technical perspective, ATS exceptions in the newly seeded OS releases work the same way as they do in the current OS release.

首先,ATS的技术行为不会有任何变化(除了新增两个字段NSALLOWSARBITRARYLOADSINWEBCONTENT和NSREQUIRESCERTIFICATETRANSPARENCY,也就是更细分权限)。从技术角度来看,ATS在IOS10中和IOS9中的表现完全一致。

What has changed is that App Review will require “reasonable justification” for most ATS exceptions. The goal here is to flush out those folks who, when ATS was first released, simply turned it off globally and moved on. That will no longer be allowed.

Copyright © 2019- bangwoyixia.com 版权所有 湘ICP备2023022004号-2

违法及侵权请联系:TEL:199 1889 7713 E-MAIL:2724546146@qq.com

本站由北京市万商天勤律师事务所王兴未律师提供法律服务