说点什么
自从出了iOS 9.0之后,Apple要求使用更安全的协议HTTPS,刚开始我们还可以通过在info.plist文件里添加键值对:
App Transport Security Settings ( Dictionary )
Allow Arbitrary Loads -- YES ( BOOL )
来继续使用http请求,但是在2017年1月1日后,所有上架的APP必须使用HTTPS,到时候再这么设置就不管用了。
接下来说下我的解决方案及遇到的问题以供大家参考。
首先要确保服务器支持HTTPS,关于服务器的配置推荐参考这篇文章:服务器相关设置,亲测有效哦!
上干货
准备工作:
单向认证只需要 根证书,双向认证还需要一个 客户端证书 (单向双向的区别注意看代码里的注释哦)
检测服务器是否符合ATS要求:
安装 根证书 到钥匙串,然后在终端输入
nscurl --ats-diagnostics --verbose https://你的请求链接
如果都符合的话,result 都是pass,哪一项不符合就让服务器修改哪项,当然能不能请求到数据还有其他因素,因为我之前全部都是pass,但是还不能得到数据,因为证书有问题;
1 后台GG会给你一个.crt文件(根证书),和一个client.p12文件(客户端证书),我们需要把.crt格式的根证书转换成我们用的.cer格式。(有人说只能识别der格式,纯属误人子弟!)
格式转换方法:双击.crt文件安装根证书到钥匙串,然后右键选择导出为.cer。
2把导出的.cer根证书和client.p12客户端证书一起拖到项目中,注意勾选相应的target
1. 使用第三方AFNetworking3.1.0
先对AFNetworking做个小小的封装:
新建一个继承于 AFHTTPSessionManager 的类 HttpsNetworking,使用此类时直接用
HttpsNetworking *manager = [HttpsNetworking getManager];
代替原来的
AFHTTPSessionManager *manager = [HttpsNetworking manager] ;
其他的不做任何改变!
下面是分别看一下各个方法的作用及实现
- +(HttpsNetworking *)getManager;
代替AFHTTPSessionManager的类方法 manager
+(HttpsNetworking *)getManager{
//调用父类的方法manager获得一个网络请求对象
HttpsNetworking * manager=[HttpsNetworking manager];
//设置manager的securityPolicy
manager.securityPolicy=[self policy];
//如果是双向认证则重写NSURLSesson的代理方法(取消下面的注释就可以)
// [self setSessionDidReceiveAuthenticationChallengeWithManager:manager];
return manager;
}
- +(AFSecurityPolicy *)policy;
这个方法就是对证书的一些相关设置
+ (AFSecurityPolicy *)policy{
//根证书路径
NSString * path = [[NSBundle mainBundle] pathForResource:@"根证书" ofType:@"cer"];
//
NSData * cerData = [NSData dataWithContentsOfFile:path];
//
NSSet * dataSet = [NSSet setWithObject:cerData];
//AFNetworking验证证书的object,AFSSLPinningModeCertificate参数决定了验证证书的方式
AFSecurityPolicy * policy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate withPinnedCertificates:dataSet];
//是否可以使用自建证书(不花钱的)
policy.allowInvalidCertificates=YES;
//是否验证域名(一般不验证)
policy.validatesDomainName=NO;
return policy;
}
下面两个方法是双向认证需要实现的,如果你只做单向认证的话可以不看了
- +(void)setSessionDidReceiveAuthenticationChallengeWithManager:(AFHTTPSessionManager *)manager ;
双向认证会走这个方法两次,分别验证服务器和客户端
+ (void)setSessionDidReceiveAuthenticationChallengeWithManager:(AFHTTPSessionManager *)manager{
__weak typeof(manager)weakManager = manager;
__weak typeof(self)weakSelf = self;
[manager setSessionDidReceiveAuthenticationChallengeBlock:^NSURLSessionAuthChallengeDisposition(NSURLSession*session, NSURLAuthenticationChallenge *challenge, NSURLCredential *__autoreleasing*_credential) {
NSURLSessionAuthChallengeDisposition disposition = NSURLSessionAuthChallengePerformDefaultHandling;
__autoreleasing NSURLCredential *credential =nil;
if([challenge.protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust]) {
NSLog(@"验证服务器1");
if([weakManager.securityPolicy evaluateServerTrust:challenge.protectionSpace.serverTrust forDomain:challenge.protectionSpace.host]) {
NSLog(@"验证服务器2");
credential = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];
if(credential) {
NSLog(@"验证服务器3");
disposition =NSURLSessionAuthChallengeUseCredential;
} else {
NSLog(@"验证服务器4");
disposition =NSURLSessionAuthChallengePerformDefaultHandling;
}
} else {
NSLog(@"验证服务器5");
disposition = NSURLSessionAuthChallengeCancelAuthenticationChallenge;
}
} else {
NSLog(@"验证客户端1");
// client authentication
SecIdentityRef identity = NULL;
SecTrustRef trust = NULL;
NSString *p12 = [[NSBundle mainBundle] pathForResource:@"client"ofType:@"p12"];
NSFileManager *fileManager =[NSFileManager defaultManager];
if(![fileManager fileExistsAtPath:p12])
{
NSLog(@"client.p12:not exist");
}
else
{
NSLog(@"验证客户端2");
NSData *PKCS12Data = [NSData dataWithContentsOfFile:p12];
if ([[weakSelf class]extractIdentity:&identity andTrust:&trust fromPKCS12Data:PKCS12Data])
{
NSLog(@"验证客户端3");
SecCertificateRef certificate = NULL;
SecIdentityCopyCertificate(identity, &certificate);
const void*certs[] = {certificate};
CFArrayRef certArray =CFArrayCreate(kCFAllocatorDefault, certs,1,NULL);
credential =[NSURLCredential credentialWithIdentity:identity certificates:(__bridge NSArray*)certArray persistence:NSURLCredentialPersistencePermanent];
disposition =NSURLSessionAuthChallengeUseCredential;
}
}
}
*_credential = credential;
return disposition;
}];
}
- +(BOOL)extractIdentity:(SecIdentityRef*)outIdentity andTrust:(SecTrustRef *)outTrust fromPKCS12Data:(NSData *)inPKCS12Data ;
真正验证客户端证书
+ (BOOL)extractIdentity:(SecIdentityRef*)outIdentity andTrust:(SecTrustRef *)outTrust fromPKCS12Data:(NSData *)inPKCS12Data {
OSStatus securityError = errSecSuccess;
//客户端证书密码
NSDictionary*optionsDictionary = [NSDictionary dictionaryWithObject:@"123456" forKey:(__bridge id)kSecImportExportPassphrase];
CFArrayRef items = CFArrayCreate(NULL, 0, 0, NULL);
securityError = SecPKCS12Import((__bridge CFDataRef)inPKCS12Data,(__bridge CFDictionaryRef)optionsDictionary,&items);
if(securityError == 0) {
CFDictionaryRef myIdentityAndTrust =CFArrayGetValueAtIndex(items,0);
const void*tempIdentity =NULL;
tempIdentity= CFDictionaryGetValue (myIdentityAndTrust,kSecImportItemIdentity);
*outIdentity = (SecIdentityRef)tempIdentity;
const void*tempTrust =NULL;
tempTrust = CFDictionaryGetValue(myIdentityAndTrust,kSecImportItemTrust);
*outTrust = (SecTrustRef)tempTrust;
} else {
NSLog(@"Failedwith error code %d",(int)securityError);
return NO;
}
return YES;
}
现在你就可以请求https开头的链接啦!
使用示例:
HttpsNetworking *manager = [HttpsNetworking getManager];
[manager GET:[FormalUrl stringByAppendingString:homeHttp] parameters:parameterDic progress:^(NSProgress * _Nonnull downloadProgress) {
} success:^(NSURLSessionDataTask * _Nonnull task, id _Nullable responseObject) {
NSLog(@"%@",responseObject);
} failure:^(NSURLSessionDataTask * _Nullable task, NSError * _Nonnull error) {
NSLog(@"%@",error);
}];
遇到的问题
code=-1206,
如果遇到这个错误请后台GG检查服务器
1、必须支持传输层安全(TLS)协议1.2以上版本
2、证书必须使用SHA256或更高的哈希算法签名
3、必须使用2048位以上RSA密钥或256位以上ECC算法等等
4、证书必须是V3版本
都要满足条件才行
结束语
如果这篇文章有帮到你,请点个赞留下你的足迹
如果有什么不对的地方请留言评论,真的会回复哦~
稍后会附上Demo下载链接
Demmo下载地址