Swift使用HTTPS

作者: GTMYang | 来源:发表于2016-12-26 14:57 被阅读0次

    关于iOS中使用HTTPS这件事情,很长时间一直没有彻底弄清楚。看了别人很多文章,今天终于基本都搞清楚了所有疑问,这里抽关键点来讲一讲。以回答问题的方式。

    1. HTTPS到底是个什么鬼?

    SSL/TSL+HTTP
    就是在HTTP传输之前,先给数据做非对称加密,客户端用公钥加解密,服务器用私钥加解密。公钥大家都可见,私钥保密,不能外泄。

    HTTPS主要目的是保证传输通道的安全性

    • 对于请求数据(Request),中间人没有私钥无法解密,看不到原始请求数据
    • 对于服务器的响应数据(Response),中间人虽然有公钥,可以解密,但是没有私钥,改了数据也没法重新加密

    综上,所以中间人就无法修改通信数据。

    2. 证书又是个什么鬼?

    • 数字证书是由证书认证机构(CA)对证书申请者真实身份验证之后,用CA的根证书对申请人的一些基本信息以及申请人的公钥进行签名(相当于加盖发证书机构的公章)后形成的一个数字文件。CA完成签发证书后,会将证书发布在CA的证书库(目录服务器)中,任何人都可以查询和下载,因此数字证书和公钥一样是公开的。
    • 每个证书持有人都有一对公钥和私钥,这两把密钥可以互为加解密。公钥是公开的,不需要保密,而私钥是由证书持有人自己持有,并且必须妥善保管和注意保密
    • 简单地说,数字证书就是经过CA认证过的公钥,而私钥一般情况都是由证书持有者在自己本地生成的,由证书持有者自己负责保管。

    3. 证书认证机构(CA)签发的证书怎么用?

    此类证书,iOS端开发什么都不用处理,获取并校验证书的过程底层已经帮忙完成了,具体是SSL层还是苹果的ATS做的我也没有彻底弄清楚(估计应该是ATS做的,如果你知道,请赐教!)

    4. 自签证书怎么用?

    自签名的证书iOS9.0之后的系统通过不了ATS,所以要做一些适配:

    • 证书导出.cer文件拷贝到项目目录
    • 然后在 info.plist 中添加
      <key>NSAppTransportSecurity</key><dict>
      <key>NSAllowsArbitraryLoads</key>
      <true/></dict>
    • 在NSURLSessionDataDelegate的对应回调方法中自己校验证书合法行,然后告诉服务器校验结果:

    具体代理方法:

    func urlSession(_ session: URLSession, didReceive challenge: URLAuthenticationChallenge, completionHandler: @escaping (URLSession.AuthChallengeDisposition, URLCredential?) -> Void)
    

    具体代码:

    /**
        a delegate method to check whether the remote cartification is the same with given certification.
        
        - parameter session:           NSURLSession
        - parameter challenge:         NSURLAuthenticationChallenge
        - parameter completionHandler: the completionHandler closure
        */
        @objc(URLSession:didReceiveChallenge:completionHandler:) func urlSession(_ session: URLSession, didReceive challenge: URLAuthenticationChallenge, completionHandler: @escaping (URLSession.AuthChallengeDisposition, URLCredential?) -> Void) {
            if let localCertificateData = self.localCertData {
                
                if let serverTrust = challenge.protectionSpace.serverTrust,
                    let certificate = SecTrustGetCertificateAtIndex(serverTrust, 0) {
                    let remoteCertificateData: Data = SecCertificateCopyData(certificate) as Data
                    
                    // 证书校验:这里直接比较本地证书文件内容 和 服务器返回的证书文件内容
                    if localCertificateData as Data == remoteCertificateData {
                        
                        let credential = URLCredential(trust: serverTrust)
                        challenge.sender?.use(credential, for: challenge)
                        
                        // 证书校验通过
                        completionHandler(Foundation.URLSession.AuthChallengeDisposition.useCredential, credential)
                    } else {
                        challenge.sender?.cancel(challenge)
                        
                        // 证书校验不通过
                        completionHandler(Foundation.URLSession.AuthChallengeDisposition.cancelAuthenticationChallenge, nil)
                        self.sSLValidateErrorCallBack?()
                    }
                } else {
                    // could not tested
                    print("Pitaya: Get RemoteCertificateData or LocalCertificateData error!")
                }
            } else {
                completionHandler(Foundation.URLSession.AuthChallengeDisposition.useCredential, nil)
            }
        }
    

    使用第三方框架,过程是一样的,只是框架加了一层自己的方法,暴露出来的方法不一样而已。

    5. 补充

    iOS对证书是有要求的:

    • 必须是苹果信任的CA证书机构颁发的证书

    • 后台传输协议必须满足: TLS1.2 (这很重要, 后面的自制证书满足这个条件是前提)

    • 签字算法只能是下面的一种:


    • 证书必须使用SHA256或者更好的哈希算法进行签名,要么是2048位或者更长的RSA密钥,要么就是256位或更长的ECC密钥。

    6. 参考

    Swift - 使用URLSession通过HTTPS进行网络请求,及证书的使用
    Swift - HTTP网络操作库Alamofire使用详解
    关于HTTPS,APP开发者必须知道的事
    HTTPS接口加密和身份认证
    CA证书相关的一些基础知识

    相关文章

      网友评论

        本文标题:Swift使用HTTPS

        本文链接:https://www.haomeiwen.com/subject/jcujvttx.html