iOS开发中对https的处理

概述

上篇笔记了解了https的原理,这篇笔记看一下iOS开发中要对对https做的处理。

https协议和iOS系统帮我们做好了大部分工作,在开发中我们可能需要处理的地方是证书的信任评估。

而大部分APP只要验证服务端证书而不需要服务端验证客户端的证书。

所以iOS开发中主要处理两种情况就行:

  • 服务端使用的CA签发的证书
  • 服务端使用的自己签发的证书

以NSURLSession请求为例

◇ 首先创建NSURLSession实例对象

- (NSURLSession *)defaultSession {
    static NSURLSession *session = nil;
    static dispatch_once_t onceToken;
    dispatch_once(&onceToken, ^{
        NSURLSessionConfiguration *configuration = [NSURLSessionConfiguration defaultSessionConfiguration];
        session = [NSURLSession sessionWithConfiguration:configuration delegate:self delegateQueue:[NSOperationQueue mainQueue]];
    });
    return session;
}

◇ 然后通过NSURLSession的实例创建task

- (void)viewDidLoad {
    [super viewDidLoad];
    self.session = [self defaultSession];
    [self sessionTaskInit];
}
- (void)sessionTaskInit {
    NSURLRequest *request = [NSURLRequest requestWithURL:[NSURL URLWithString:localhostString]];
    self.dataTask = [self.session dataTaskWithRequest:request];
}

◇ 执行task

- (void)resume {
    [self.dataTask resume];
}

◇ 注意

这里有两个问题要注意:
★ 1
NSURLSession网络请求的相关协议有:NSURLSessionDelegate,
NSURLSessionTaskDelegate,
NSURLSessionDataDelegate,
NSURLSessionDownloadDelegate,NSURLSessionStreamDelegate

iOS开发中对https的处理_第1张图片
屏幕快照 2017-07-28 上午10.48.53.png

创建NSURLSession对象的时候设置了delegate为self:

session = [NSURLSession sessionWithConfiguration:configuration delegate:self delegateQueue:[NSOperationQueue mainQueue]];

默认的情况下会把这些协议的代理都指向self,所以如果用到这些协议里的方法可以直接写在self里

★ 2
NSURLSession对象会被系统框架强引用保活,例如简单的请求可以写成这样而不必担心beginRequest方法块执行完后相关对象被释放掉导致拿不到回调数据:

- (void)beginRequest {
    // 快捷方式获得session对象
    NSURLSession *session = [NSURLSession sharedSession];
    NSURL *url = [NSURL URLWithString:@"https://github.com/"];
    // 通过URL初始化task,在block内部可以直接对返回的数据进行处理
    NSURLSessionTask *task = [session dataTaskWithURL:url
                                    completionHandler:^(NSData *data, NSURLResponse *response, NSError *error) {
                                        NSLog(@"%@",data);
                                    }];
    
    // 启动任务
    [task resume];
}

在NSURLSession对象的delegate中添加必要的代理

◇ 首先添加三个代理方法

// 提示请求进度
- (void)URLSession:(NSURLSession *)session downloadTask:(NSURLSessionDownloadTask *)downloadTask
      didWriteData:(int64_t)bytesWritten
 totalBytesWritten:(int64_t)totalBytesWritten
totalBytesExpectedToWrite:(int64_t)totalBytesExpectedToWrite {
    BLog();
    
    self.progressView.progress = totalBytesWritten/(float)totalBytesExpectedToWrite;
    self.progressLabel.text = [NSString stringWithFormat:@"%.2f",totalBytesWritten/(float)totalBytesExpectedToWrite];
    NSLog(@"%@",self.progressLabel.text);
}
// 接收数据
- (void)URLSession:(NSURLSession *)session dataTask:(NSURLSessionDataTask *)dataTask
    didReceiveData:(NSData *)data{
    BLog();

    [self.mutableData appendData:data];
}
// 打印结果
- (void)URLSession:(NSURLSession *)session task:(NSURLSessionTask *)task didCompleteWithError:(nullable NSError *)error {
    BLog();
    
    if (error) {
        NSLog(@"error:%@",error);
    }else {
        self.progressView.progress = 1;
        self.progressLabel.text = @"1";
        
        NSLog(@"success");
        NSLog(@"%@",[[NSString alloc] initWithData:self.mutableData encoding:NSUTF8StringEncoding]);
    }
}

三个方法分别更新请求进度,接受数据,请求完成判断是发生了错误还是成功,错误了提示成功了打印请求数据。

◇ https相关的两个代理方法

- (void)URLSession:(NSURLSession *)session didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge
 completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition disposition, NSURLCredential * _Nullable credential))completionHandler {
    BLog();
}

- (void)URLSession:(NSURLSession *)session task:(NSURLSessionTask *)task
didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge
 completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition disposition, NSURLCredential * _Nullable credential))completionHandler{
    BLog();
}

从上篇笔记我们知道SSL握手阶段,客户端拿到服务端证书,需要验证证书的真实性以确定服务端是否可信。开发者在这两个代理方法中获取证书相关信息,判断证书的真实性,并通过调用completionHandler传递验证结果反馈给系统。

如果服务端使用的是系统信任的CA签发的证书的话,不用做任何处理或者干脆不写着两个方法就能通过验证。自签名证书则必须在这两个方法中做相关处理。

从参数来看第二个方法只比第一个方法多了一个(NSURLSessionTask *)task参数。下面来看下两个方法的区别。

◇ 区别

  1. 如果是session级别的证书认证NSURLAuthenticationMethodNTLM,
    NSURLAuthenticationMethodNegotiate,
    NSURLAuthenticationMethodClientCertificate,
    NSURLAuthenticationMethodServerTrust
    NSURLSession会调用session代理方法:
    URLSession:didReceiveChallenge:completionHandler:,如果app没有提供该代理方法会调用:URLSession:task:didReceiveChallenge:completionHandler:

其中https中对于服务端的证书的认证质询(认证服务端身份),不论是CA证书还是自建证书,验证类型都是 NSURLAuthenticationMethodServerTrust。
当服务端要验证客户端证书发起的认证质询的类型是NSURLAuthenticationMethodClientCertificate

  1. 其余非session级别的认证,会调用代理方法 URLSession:task:didReceiveChallenge:completionHandler:去处理
    ,记住URLSession:didReceiveChallenge:completionHandler:不能处理非session级别的challenges,如果有,则必须明确通过URLSession:task:didReceiveChallenge:completionHandler:方法去处理

所以我们只在URLSession:task:didReceiveChallenge:completionHandler:方法中做处理就可以应对所有的https证书认证挑战。

下篇笔记iOS系统的TLS链验证开始学习URLSession:task:didReceiveChallenge:completionHandler:方法的内部处理。

demo

iOS开发中对https的处理

参考:

Life Cycle of a URL Session
Authentication Challenges and TLS Chain Validation
Evaluating Trust
Overriding TLS Chain Validation Correctly
NSURLAuthenticationChallenge

你可能感兴趣的:(iOS开发中对https的处理)