美文网首页iOS精英班iOS网络安全
AFN 中的 https 安全策略

AFN 中的 https 安全策略

作者: XDLee | 来源:发表于2017-04-26 14:57 被阅读43次

    前言

    在 AFNetworking 框架中,有一个 AFSecurityPolicy 类,这个类就是 AFN 的安全策略类。

    一、AFSecurityPolicy 默认的 SSL 证书处理模式

    先上代码:

    AFHTTPSessionManager *manager = [AFHTTPSessionManager manager];
NSLog(@"%tu", manager.securityPolicy.SSLPinningMode);

    首先,AFSecurityPolicy 类中有一个 SSLPingingMode属性。这里简单介绍一下:

    typedef NS_ENUM(NSUInteger, AFSSLPinningMode) {
    AFSSLPinningModeNone,
    AFSSLPinningModePublicKey,
    AFSSLPinningModeCertificate,
};
    • AFSSLPinningModeNone:代表客户端无条件地信任服务器端返回的证书。
    • AFSSLPinningModePublicKey:代表客户端会将服务器端返回的证书与本地保存的证书中,PublicKey的部分进行校验;如果正确,才继续进行。
    • AFSSLPinningModeCertificate:
      代表客户端会将服务器端返回的证书和本地保存的证书中的所有内容,包括PublicKey和证书部分,全部进行校验;如果正确,才继续进行。
    结论:
1> 根据打印结果可知,默认的 `SSLPingingMode` 是
 `AFSSLPinningModeNone`。
2> 也就是说,AFSecurityPolicy 默认的 SSL 证书处理模式是: `客户端无条件地信任服务端返回的证书`。
3> 实际开发中,可以根据实际需求的安全级别,进行相应配置。

    二、自定义 AFSecurityPolicy 属性

    1、创建 安全策略 对象

    // 创建安全策略对象
AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModePublicKey];

    通过这种方式创建,可以指定 SSLPingingMode 属性。

    2、设置是否信任含有非法/过期证书的服务器

    其实,就是设置 allowInvalidCertificates 属性

    /**
 Whether or not to trust servers with an invalid or expired SSL certificates. Defaults to `NO`.
是否信任包含无效的或者过期SSL证书的服务器,默认是 NO(不信任)
 */
@property (nonatomic, assign) BOOL allowInvalidCertificates;

    1> 一般来说,每个版本的iOS设备中,都会包含一些既有的CA根证书。如果接收到的服务器证书是iOS信任的CA根证书签名的,那么则为合法证书;否则则为“非法”证书。
    2> 当然,也可以给iOS加入新的信任的CA证书。

    3、设置是否校验证书的域名字段

    就是设置 validatesDomainName

    /**
 Whether or not to validate the domain name in the certificate's CN field. Defaults to `YES`.
是否检验证书中的 域名 字段
 */
@property (nonatomic, assign) BOOL validatesDomainName;

    1> 每个证书都会包含一个DomainName, 它可以是一个IP地址,一个域名或者一端带有通配符的域名。如*.google.com, www.google.com 都可以成为这个证书的DomainName。
    2> 设置validatesDomainName=YES将严格地保证其安全性。

    整体代码如下

    AFHTTPSessionManager *manager = [AFHTTPSessionManager manager];
    
// 创建安全策略对象
AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeNone];
   
// 设置允许信任非法证书
securityPolicy.allowInvalidCertificates = YES;
    
// 设置禁止域名校验
securityPolicy.validatesDomainName = NO;
    
// 将创建的 安全策略 赋值给 manager
manager.securityPolicy = securityPolicy;

    相关文章

      网友评论

        本文标题:AFN 中的 https 安全策略

        本文链接:https://www.haomeiwen.com/subject/qbhizttx.html

        延伸阅读

        深度阅读

        • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

        栏目导航

        热点阅读

        iOS精英班

        iOS网络安全

        关于我们|服务条款|联系我们|AFN 中的 https 安全策略|投稿指南|网站地图|RSS订阅|排版工具|手机版

        提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

        Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

        备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

        本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

        所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!