App采用Https的解决方案
在各大领域对Https的大力推进,苹果公司对app上架审核要求采用Https的规定的契机下,App需启用Https安全链接模式。
我方提供了两个主流解决方案。分别是自签名SSL证书和第三方信任机构颁发SSL证书。
方案一:自签名SSL证书
自签名SSL证书方案操作相对很复杂,需要配置服务端源码和大幅度修改app端源码。同时在PC网站端会有红色的非认证机构颁发证书的警告。因此该方案我们不推荐。具体处理方式见附件。
方案二:第三方信任机构颁发SSL证书。
SSL证书根据验证级别,分为三种类型,即域名型SSL证书,简称DVSSL;企业型SSL证书,简称OVSSL;增强型SSL证书,简称EVSSL。详细区别见附件 SSL证书类型简介.doc
对于小型企业我们建议申请免费的DVSSL证书,中大型企业申请付费版本的OVSSL或者EVSSL,酌情而定。
一、准备工作:
免费的DVSSL证书有国内很多平台,推荐腾讯云中的合作的“亚洲诚信”免费DVSSL证书。付费的SSL也可以在腾讯云中申请。具体申请流程见腾讯云中提供的教程。
腾讯云申请地址 https://www.qcloud.com/product/ssl
亚洲诚信 https://www.trustasia.com/
二、后台工作:
TS4.3以及之前的版本:
修改core/core.php tsdefine('IS_HTTPS', 0); 改为 tsdefine('IS_HTTPS', 1);
TS4.5 版本:
修改src/vender/zhiyicx/src/core.php tsdefine('IS_HTTPS', 0); 改为 tsdefine('IS_HTTPS',1);
在nginx 配置中的对应的server段加入如下代码即可
listen 80 default backlog=2048;
listen 443 ssl;
ssl_crttificate xxx/xxx.crt;//证书相对路径
ssl_crttificate_key xxx/xxx.key;//证书相对路径
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers"ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";//推荐的向后兼容的密码套件
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
三、app端工作:
A、iOS端
1、关闭-Info.plist文件内, AppTransport Security Settings 子键中Allow Arbitrary Loads 设置为 YES ,开启ATS校验。同时添加 AllowArbitrary Loads in Web Content 子键并设置为NO,允许H5访问Http站点。
在app提交审核中追加以下文案:
由于该app中有通过H5访问部分外部站点的应用场景,不能确保外部站点使用了Https,因此申请允许H5访问Http的站点权限。
注意:
由于web开通Http访问权限是在iOS10才新增的,所以该设置会导致iOS10以下版本的手机无法在H5中访问http链接的内容。建议运营团队控制H5中的链接指向,尽量避免链接到Http网页。待官方推出完美的解决方案。
2、修改服务器域名为Https即可
以及之前的版本:
修改 Api.h文件中
#define HEADURL @"http://demo.thinksns.com/ts4/"
为
#define HEADURL @"https://demo.thinksns.com/ts4/"
TS4.5 版本:
修改TSNetworkingRequestPath.h 中
static NSString const@"http://demo.thinksns.com/ts4/";
为
static NSString const@"http://demo.thinksns.com/ts4/";
3、第三方Https的支持
3.1 不用处理的第三方:极光推送、bugHD、友盟、shareSDK、
3.2 需要升级的第三方:高德地图
官网链接:http://lbs.amap.com/api/ios-sdk/guide/create-project/https-guide/
'AMap2DMap', '~> 4.5.0' // 及其以上
'AMapSearch', '~> 4.4.1' // 及其以上
【备注】
1.可以直接通过CocoaPods升级版本。
或者官网下载对应文件(2D地图和搜索功能)后替换/Pods/AMap2DMap/MAMapKit.framework
以及/Pods/AMapSearch/AMapSearchKit.framework
2.添加代码
AppDelegate.m
#pragma mark --- 初始化 三方平台
-(void)init3Part{
[OpenShareconnectAlipay];
[OpenShareconnectWeixinWithAppId:WeiXinSDK_AppId];
// 开启高德地图Https兼容
[[AMapServicessharedServices] setEnableHTTPS:YES];
[AMapServicessharedServices].apiKey = AMAP_KEY;
}
B、安卓端
1、修改\thinksns-system-android\ThinkSnsBase\src\main\java\com\thinksns\sociax\thinksnsbase\network\ApiHttpClient.java中的newHttpClient()方法中 API-URL= “http://” + HOST +”/”+API 的http:// 更改为‘https://’。
2、替换\thinksns-system-android\Thinksns_v4.0\src\com\thinksns\sociax\api\Api.java中所有的 http为https。
3、替换\thinksns-system-android\Thinksns_v4.0\src\com\thinksns\sociax\t4\android\function\FunctionThirdPlatForm.java中的http为https。
注:2017 年1月6日以后的版本只用更改\thinksns-system-android\ThinkSnsBase\src\main\res\values\app_init_set.xml中的名叫protocol的arrayitem。如图: