一、为了网络安全,使用https请求,ios端需要做一些配置。我们用的是阿里云的免费的服务器。
1.去后台要阿里云服务器的证书,证书在阿里云的网站上下载,里面有很多证书,有些是服务器支持https的证书,我们ios端只要一个就OK了,在other文件夹里有三个.pem的证书分别为如图
我们要这个chain的就可以了,证书打开有G1,就对了。如果服务器后台人员给我们的是.cer的后缀,我们就直接导入项目,如果是pem格式的,需要我们在终端转。
2.终端转cer命令,将pem转成cer的。
终端输入:
openssl x509 -in /Users/meirongcheng/Desktop/chain.pem-out /Users/meirongcheng/Desktop/chain.cer -outform der
一行命令转成。如图:
会生成.cer的证书拖入项目即可
3.适配AFN,3.0以上版本支持了https,设置下即可,在AFHTTPSessionManager子类的网络工具类中做配置,代码如下
+ (instancetype)sharedZFClient {
static AFAppDotNetAPIClient *_sharedZFClient = nil;
static dispatch_once_t onceToken;
dispatch_once(&onceToken, ^{
_sharedZFClient = [[AFAppDotNetAPIClient alloc] initWithBaseURL:[NSURL URLWithString:SERVERHTTPS_URL_ZF]];
if (Http) {
//http
_sharedZFClient.securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeNone];
//
}else{
//https
[_sharedZFClient setSecurityPolicy:[self customSecurityPolicy]];
}
[_sharedZFClient.requestSerializer setValue:@"application/x-www-form-urlencoded; charset=utf-8" forHTTPHeaderField:@"Content-Type"];
//加载30秒没结果为失败
_sharedZFClient.requestSerializer.timeoutInterval = 30;
//告诉AFN,下载下来的数据是JSON,直接解析返回给我们
_sharedZFClient.responseSerializer = [AFJSONResponseSerializer serializer];
_sharedZFClient.responseSerializer.acceptableContentTypes = [NSSet setWithObjects:@"application/json", @"text/json", @"text/javascript", @"text/html", @"text/xml",@"text/plain", nil];
});
return _sharedZFClient;
}
+ (AFSecurityPolicy *)customSecurityPolicy {
// 先导入证书 证书由服务端生成,具体由服务端人员操作
NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"chain" ofType:@"cer"];//证书的路径
NSData *cerData = [NSData dataWithContentsOfFile:cerPath];
// AFSSLPinningModeCertificate 使用证书验证模式
AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];
// allowInvalidCertificates 是否允许无效证书(也就是自建的证书),默认为NO
// 如果是需要验证自建证书,需要设置为YES
securityPolicy.allowInvalidCertificates = NO;
//validatesDomainName 是否需要验证域名,默认为YES;
//假如证书的域名与你请求的域名不一致,需把该项设置为NO;如设成NO的话,即服务器使用其他可信任机构颁发的证书,也可以建立连接,这个非常危险,建议打开。
//置为NO,主要用于这种情况:客户端请求的是子域名,而证书上的是另外一个域名。因为SSL证书上的域名是独立的,假如证书上注册的域名是www.google.com,那么mail.google.com是无法验证通过的;当然,有钱可以注册通配符的域名*.google.com,但这个还是比较贵的。
//如置为NO,建议自己添加对应域名的校验逻辑。
securityPolicy.validatesDomainName = YES;
securityPolicy.pinnedCertificates = [[NSSet alloc]initWithObjects:cerData, nil];
return securityPolicy;
}
4.afn请求有了证书验证后,在info.plist中设置yes,默认是NO,意思是是否允许任意加载。
yes是http也可以访问,no是只能访问https,原因是如果设置为no,有些h5的页面是http的,将无法访问。设置为yes并不影响安全,抓包一样抓不到。
二、关于ipv6被拒的问题,首先使用最新的afn,支持ipv6,如果有网络监控,使用afn自带的就好,用其他的要支持ipv6,使用getip的三方的要支持ipv6,自己搭建ipv6环境,测试一下,参考 http://www.jianshu.com/p/632d995749e1
测试有问题,就要排查有关网络的东西是否支持了ipv6,AFN3.0以后,sdweb新的也是支持ipv6的不用做特别设置。如果测试没问题,还是被拒了,让领导购买海外代理服务器,在审核的时候使用,花不了多少钱。
网友评论