iOS 证书校验的几种嵌入方式，公钥证书pem的读取

嵌入的几种方式

使用公有协议https进行网络传输，为了避免数据被抓包，需要实现客户端的证书校验功能。而证书校验可能存在几种实现的方式。分别如下：
A. 直接把客户端证书cer,嵌入到bundle中。
B. 提取客户端证书的公钥，生成pem格式文件，嵌入到bundle中。
C. 把cer证书pem格式的文本硬编码到代码中。
D. 把pem格式公钥硬编码到代码中。

差别分析

实际上，以上的实现方式都能实现证书校验的功能，只是对应的证书数据解析哪一步的代码处理有点差异。让我感到疑惑的是，为什么会存在这几种方式，特别是A和B。

使用B而不使用A的原因猜测：

1. 开发团队可能不愿意泄漏过多的证书信息，只是为了实现功能必要的嵌入公钥信息。
2. 证书信息不常驻内存，存在频繁读取的场景，此时考虑效率，只使用必要的公钥信息。

而C,D与A，B没有多大区别，主要是转成了base64硬编码到代码中。从安全性的角度来说，可能比直接把文件嵌入安全一点。文件直接砸壳就能拿到，很直接。而硬编码需要分析二进制，并且还要在一堆字符串查找，不那么直接。

公钥证书pem的读取

// 从公钥证书文件中获取到公钥的SecKeyRef指针。 Base64String->NSData
+ (id)publicSecKeyFromKeyBits:(NSData *)givenData {
    NSMutableDictionary *options = [NSMutableDictionary dictionary];
    options[(__bridge id)kSecAttrKeyType] = (__bridge id) kSecAttrKeyTypeRSA;
    options[(__bridge id)kSecAttrKeyClass] = (__bridge id) kSecAttrKeyClassPublic;

    NSError *error = nil;
    CFErrorRef ee = (__bridge CFErrorRef)error;
    ///但这个方法在iOS10才支持。
    id ret = (__bridge_transfer id)SecKeyCreateWithData((__bridge CFDataRef)givenData, (__bridge CFDictionaryRef)options, &ee);
    if (error) {
        return nil;
    }
    return ret;
}

此方法存在一个比较明显的缺点，只支持iOS10及其以上。我看到一些嵌入pem格式的公钥证书的app是支持到8.0的，但没能找到能支持低版本的生成SecKeyRef的方法，也许其作用并不是用来做证书校验的。

小技巧

在后台不能提供客户端证书的情况下，可以在浏览器使用对应的域名下得网址进行请求，把证书拿到。macOS可以这么操作：1.请求相应的地址，2点击地址栏左边的小锁头，3点击证书，4出现证书详情的时候，点击拖动证书图标保存到本地。