iOS中https的证书验证
2016-03-21 15:08
459 查看
文/大风歌飞鼎折覆餗(简书作者)
原文链接:http://www.jianshu.com/p/f10f6df67d66
著作权归作者所有,转载请联系作者获得授权,并标注“简书作者”。
公司的服务器被人DDOS攻击了,后台改用自签证的证书,全部请求改用HTTPS. iOS的网络请求也需要全部改. 坑爹的是项目中有两套请求方案. 1,使用原始苹果自带的NSURLConnection 2, 是我接手以后改用的afnetworking. 要全部改的话一下子没那么多时间改的过来. 就只好两个方案都实现下HTTPS
afnetworking 使用字签证证书访问HTTPS
把服务器给你的自签证的证书放入bundle一般是.cer文件
创建afnnetworking 安全策略对象,并设置发起请求manager的安全策略属性.设置了安全策略属性,afnnetworking会自动扫描bundl里的证书.
最坑的是 iOS9新出的App Transport Security 也就是要我们把所有请求从 HTTP改成HTTPS的家伙, 它竟然不认自签证的证书. 苹果大爷难道真是土豪惯了,以为我们开发者都会买ca的证书吗. 解决办法就是那里还是要设置在Info.plist中添加NSAppTransportSecurity类型Dictionary在NSAppTransportSecurity下添加NSAllowsArbitraryLoads类型 Boolean,值设为YES
NSURLConnection 使用自签证证书支持HTTPS,只需要在实现NSURLConnection的代理方法即可. 这个解决方法转自GitHub JacksonTian 他原文中有多了行释放代码 CFRelease(trust); ,多了这行代码在短时间重复请求,一个URL的时候trust 会提前释放导致crash,没有细究原因,直接注释掉了.
**后面通过测试, 不实现上面的委托, NSURLConnection
也可以直接连接HTTPS服务器, 这种是绕过了证书的. afnetworking
不设置安全策略就无法访问HTTPS服务器.注:afnnetworking版本使用的是2.5.4 ,之前的版本关于安全策略的API有bug
在afn的issue中看到**
原文链接:http://www.jianshu.com/p/f10f6df67d66
著作权归作者所有,转载请联系作者获得授权,并标注“简书作者”。
公司的服务器被人DDOS攻击了,后台改用自签证的证书,全部请求改用HTTPS. iOS的网络请求也需要全部改. 坑爹的是项目中有两套请求方案. 1,使用原始苹果自带的NSURLConnection 2, 是我接手以后改用的afnetworking. 要全部改的话一下子没那么多时间改的过来. 就只好两个方案都实现下HTTPS
afnetworking 使用字签证证书访问HTTPS
把服务器给你的自签证的证书放入bundle一般是.cer文件
创建afnnetworking 安全策略对象,并设置发起请求manager的安全策略属性.设置了安全策略属性,afnnetworking会自动扫描bundl里的证书.
最坑的是 iOS9新出的App Transport Security 也就是要我们把所有请求从 HTTP改成HTTPS的家伙, 它竟然不认自签证的证书. 苹果大爷难道真是土豪惯了,以为我们开发者都会买ca的证书吗. 解决办法就是那里还是要设置在Info.plist中添加NSAppTransportSecurity类型Dictionary在NSAppTransportSecurity下添加NSAllowsArbitraryLoads类型 Boolean,值设为YES
//创建安全策略对象 AFSecurityPolicy * security = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate]; //设置证书 security.allowInvalidCertificates = YES; // 由于是自签证证书 afnnetworking 会认为是无效的 设置为允许 security.validatesDomainName = NO; //验证证书绑定的域 [[AFHTTPRequestOperationManager manager]setSecurityPolicy:security]; // //普通一样发起请求就可以 [[AFHTTPRequestOperationManager manager] POST:@"/test" parameters:nil success:^(AFHTTPRequestOperation *operation, id responseObject) { } failure:^(AFHTTPRequestOperation *operation, NSError *error) { }];
NSURLConnection 使用自签证证书支持HTTPS,只需要在实现NSURLConnection的代理方法即可. 这个解决方法转自GitHub JacksonTian 他原文中有多了行释放代码 CFRelease(trust); ,多了这行代码在短时间重复请求,一个URL的时候trust 会提前释放导致crash,没有细究原因,直接注释掉了.
#pragma Support NSURLCONNECTION HTTPS - (BOOL)connection:(NSURLConnection *)connection canAuthenticateAgainstProtectionSpace:(NSURLProtectionSpace *)protectionSpace{ return [protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust]; } - (void)connection:(NSURLConnection *)connection didReceiveAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge { static CFArrayRef certs; if (!certs) { //创建证书data NSData*certData =[NSData dataWithContentsOfFile:[[NSBundle mainBundle] pathForResource:@"HTTPS" ofType:@"cer"]]; SecCertificateRef rootcert = SecCertificateCreateWithData(kCFAllocatorDefault,CFBridgingRetain(certData)); const void *array[1] = { rootcert }; certs = CFArrayCreate(NULL, array, 1, &kCFTypeArrayCallBacks); // CFRelease(rootcert); // for completeness, really does not matter } SecTrustRef trust = [[challenge protectionSpace] serverTrust]; int err; SecTrustResultType trustResult = 0; err = SecTrustSetAnchorCertificates(trust, certs); if (err == noErr) { err = SecTrustEvaluate(trust,&trustResult); } // BOOL trusted = (err == noErr) && ((trustResult == kSecTrustResultProceed)||(trustResult == kSecTrustResultConfirm) || (trustResult == kSecTrustResultUnspecified)); BOOL trusted = (err == noErr) && ((trustResult == kSecTrustResultProceed) || (trustResult == kSecTrustResultUnspecified)); if (trusted) { [challenge.sender useCredential:[NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust] forAuthenticationChallenge:challenge]; } else{ [challenge.sender cancelAuthenticationChallenge:challenge]; } // CFRelease(trust); }
**后面通过测试, 不实现上面的委托, NSURLConnection
也可以直接连接HTTPS服务器, 这种是绕过了证书的. afnetworking
不设置安全策略就无法访问HTTPS服务器.注:afnnetworking版本使用的是2.5.4 ,之前的版本关于安全策略的API有bug
在afn的issue中看到**
相关文章推荐
- IOS网络开发NSURLSession详解(一)概述
- 互联网的网络地址分为A~E五类
- 破坏网络可信身份认证,黑灰产业链正在兴起
- 大型网站架构学习笔记(转自http://www.cnblogs.com/xrq730/p/4954152.html)
- [疯狂Java]网络:URL编解码(URLDecoder、URLEncoder)
- 数据库视图介绍(一)(http://www.cnblogs.com/pony/archive/2008/07/15/1243210.html)
- Linux网络编程--epoll模型之LT触发模式和ET触发模式
- 计算机网络之应用层协议
- HttpURLConnection用法详解
- 让人工神经网络反哺人类神经网络
- [疯狂Java]网络:IP地址和端口号
- Java Web ——http协议响应报文
- Linux 下使用USB 网络
- 百度竞价必不可少的关键词转化成本的计算你会吗【太原网络营销师】讲
- ECONNRESET分析与解决
- Java Web ——http协议请求报文
- 破坏网络可信身份认证,黑灰产业链正在兴起
- http://www.aboutyun.com/thread-8908-1-1.html
- Java-网络编程
- muduo网络库脉络分析(1)