iOS AFNetworking HTTPS 認證

標籤：bsp   認證   註冊   訊息   nbsp   自己的   ref   開啟   parameter   

HTTPS 中雙向認證SSL 協議的具體過程：

這裡總結為詳細的步驟：

① 瀏覽器發送一個串連請求給安全伺服器。

② 伺服器將自己的認證，以及同認證相關的資訊發送給客戶瀏覽器。

③ 客戶瀏覽器檢查伺服器送過來的認證是否是由自己信賴的 CA 中心所簽發的。如果是，就繼續執行協議；如果不是，客戶瀏覽器就給客戶一個警告訊息：警告客戶這個認證不是可以信賴的，詢問客戶是否需要繼續。

④ 接著客戶瀏覽器比較認證裡的訊息，例如網域名稱和公開金鑰，與伺服器剛剛發送的相關訊息是否一致，如果是一致的，客戶瀏覽器認可這個伺服器的合法身份。

⑤ 伺服器要求客戶發送客戶自己的認證。收到後，伺服器驗證客戶的認證，如果沒有通過驗證，拒絕串連；如果通過驗證，伺服器獲得使用者的公開金鑰。

⑥ 客戶瀏覽器告訴伺服器自己所能夠支援的通訊對稱密碼方案。

⑦ 伺服器從客戶發送過來的密碼方案中，選擇一種加密程度最高的密碼方案，用客戶的公開金鑰加過密後通知瀏覽器。

⑧ 瀏覽器針對這個密碼方案，選擇一個通話密鑰，接著用伺服器的公開金鑰加過密後發送給伺服器。

⑨ 伺服器接收到瀏覽器送過來的訊息，用自己的私密金鑰解密，獲得通話密鑰。

⑩ 伺服器、瀏覽器接下來的通訊都是用對稱密碼方案，對稱金鑰是加過密的。

轉自AFNetworking的https雙向認證

一般來講如果app用了web service , 我們需要防止資料嗅探來保證資料安全.通常的做法是用ssl來串連以防止資料抓包和嗅探

其實這麼做的話還是不夠的 。 我們還需要防止中間人攻擊（不明白的自己去百度）。攻擊者通過偽造的ssl認證使app串連到了偽裝的假冒的伺服器上，這是個嚴重的問題！那麼如何防止中間人攻擊呢？

首先web伺服器必須提供一個ssl認證，需要一個 .crt 檔案，然後設定app只能串連有效ssl認證的伺服器。

在開始寫代碼前，先要把 .crt 檔案轉成 .cer 檔案，然後在加到xcode 裡面

可以使用openssl 進行轉換

openssl x509 -in你的認證.crt -out你的認證.cer -outform der

使用AFNetworking 對資料進行只需要兩步

第一步：新增一個類+ (AFSecurityPolicy*)customSecurityPolicy{// /先匯入認證NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"hgcang" ofType:@"cer"];//認證的路徑NSData *certData = [NSData dataWithContentsOfFile:cerPath];// AFSSLPinningModeCertificate 使用認證驗證模式AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];// allowInvalidCertificates 是否允許無效認證（也就是自建的認證），預設為NO// 如果是需要驗證自建認證，需要設定為YESsecurityPolicy.allowInvalidCertificates = YES;//validatesDomainName 是否需要驗證網域名稱，預設為YES；//假如認證的網域名稱與你請求的網域名稱不一致，需把該項設定為NO；如設成NO的話，即伺服器使用其他可信任機構頒發的認證，也可以建立串連，這個非常危險，建議開啟。//置為NO，主要用於這種情況：用戶端請求的是子網域名稱，而認證上的是另外一個網域名稱。因為SSL認證上的網域名稱是獨立的，假如認證上註冊的網域名稱是www.google.com，那麼mail.google.com是無法驗證通過的；當然，有錢可以註冊萬用字元的網域名稱*.google.com，但這個還是比較貴的。//如置為NO，建議自己添加對應網域名稱的校正邏輯。securityPolicy.validatesDomainName = NO;securityPolicy.pinnedCertificates = @[certData];return securityPolicy;}第二步：直接在要求方法裡加入，只有一行代碼+ (void)post:(NSString *)url params:(NSDictionary *)params success:(void (^)(id))success failure:(void (^)(NSError *))failure{// 1.獲得要求管理者AFHTTPRequestOperationManager *mgr = [AFHTTPRequestOperationManager manager];// 2.申明返回的結果是text/html類型mgr.responseSerializer = [AFHTTPResponseSerializer serializer];// 加上這行代碼，https ssl 驗證。//[mgr setSecurityPolicy:[self customSecurityPolicy]];// 3.發送POST請求[mgr POST:url parameters:paramssuccess:^(AFHTTPRequestOperation *operation, id responseObj) {if (success) {success(responseObj);}} failure:^(AFHTTPRequestOperation *operation, NSError *error) {if (failure) {failure(error);}}];}

 

iOS AFNetworking HTTPS 認證