以下所有内容均为个人观点,转载请注明出处<--小蜗牛吱呀之悠悠 >,谢谢!
工作的某一天,线上APP的推送服务突然失效了,源于解决这个问题,整理归纳一下APNS推送和证书的底层逻辑。
一、推送的简单流程
推送大致流程如上图所示,简单来说是服务端将消息发送给APNS,然后由APNS将消息推送给手机,在手机收到消息后进行进一步的处理,最后展示出来。这个流程包括了第三方推送(个推、极光、友盟等),只是第三方推送在图中第一第二环节增加了处理,代替我们自己的服务端去和苹果交互。另外,图中所示的Extension环节是推送消息在手机展示前,由APP开发者进行处理的最后一环节,可以修改展示的内容,包括文字、增加图片等,如果想要进一步了解这个环节的实现步骤,可以参考我另一篇文章iOS极光推送带图片模式
二、各环节具体做了什么事情
前面我们简单介绍了一下推送的基本流程,这一节我们具体聊聊每一个环节到底做了什么,是如何将消息一个环节一个环节成功传递的。
1、推送证书的原理
我们都知道,要实现iOS的消息推送,需要准备好推送证书,并且开启推送服务。现在我们来简单回顾一下推送证书是如何申请的。
首先,我们需要从钥匙串中申请一个CSR文件
申请步骤:打开钥匙串,如下图:
填写信息后就可以生成如下图所示的CSR文件
然后找到苹果开发者网站中创建证书的地方,将CSR上传,并创建证书,然后将证书下载下来安装即可。
在上述环节中,涉及到两个东西(CSR文件、.cer后缀的推送证书),这两个文件里面是什么?有什么作用?
苹果官方有一对密钥,私钥在苹果后台,公钥在iOS系统中(出厂后就已经携带),姑且称作公钥(iOS)、私钥(iOS);
在MAC中请求CSR文件时,会生成一对公钥(mac)、私钥(mac)。
生成CSR的时候,由MAC创建公私钥,并将公钥(mac)放入CSR,当我们将CSR文件上传到开发者平台时,苹果会用私钥(iOS)对公钥(mac)进行签名,生成.cer证书文件。也就是说,CSR携带公钥(mac),.cer证书包含了加密后的CSR和一些其他的权限信息。
那推送证书在推送的过程是怎么发挥作用的呢?在理解这个问题之前,我们先了解一下app是怎么安装到手机上的。
2、APP安装时签名、验签过程
1、首先,在使用Xcode对APP进行打包的时候,会用私钥(mac)对包进行签名,然后把描述文件一起放到包里。
由于发布APP需要发布证书(product.cer),根据我们前面的介绍,这个证书也是携带了CSR的,并且是被私钥(iOS)加密的。
2、在完成第一步后,Xcode会将发布证书、设备信息、APPID等内容一并使用私钥(iOS)再加密签名一次
3、最后,将步骤1、步骤2的产物一起组成ipa包,然后发布到App Store。
4、当用户下载APP安装时,手机会用出厂时就携带的公钥(iOS)对ipa包解密(步骤2的产物两次解密),得到步骤1的产物、发布证书、设备信息等内容。
到这里,一个ipa包被拆解为这些内容:用私钥(mac)对.app包签名后的描述文件、用私钥(iOS)对CSR签名的证书。
5、用公钥(iOS)对证书解签,得到CSR,并从CSR文件中拿到公钥(mac)
6、用步骤5得到的公钥(mac)再去解签描述文件,得到.app包。
在上述过程中,公私钥(iOS)主要起到苹果授权的作用,公私钥(mac)主要起到校验包是否被篡改的作用。
3、推送是如何通信鉴权的
了解了APP安装的流程后,我们知道,在APP打包过程,会将证书等信息放到包里进行加密,推送证书也就是这个环节被放到了包里。那么推送是怎么完成闭环的呢?接下来我们看下面这张图:
完成完整的推送,大致有下面几个环节:
步骤一:启动APP时,通常会去请求推送权限,当用户点击允许后,手机就会拿着设备标识、推送证书发送给APNS服务器,苹果收到这些信息后,会根据推送证书、设备标识、APP信息去验证是否具有推送权限,如果有推送权限,苹果会将这台设备信息放入推送列表中。
步骤二:在苹果通过权限校验后,会根据设备标识和APP标识生成一个deviceToken,并将这个deviceToken返回给APP。
步骤三:deviceToken送达手机后,会在APP中的下述方法告知开发者
-(void)application:(UIApplication *)application didRegisterForRemoteNotificationsWithDeviceToken:(NSData *)deviceToken
当这个方法回调时携带deviceToken后,根据接入推送服务的不同,可以分为自己服务器和第三方服务器。如果是自己的服务器实现推送(七鱼),则将deviceToken直接传给后端即可;如果是接入了第三方SDK,则传给第三方服务商的后端,后续的推送则由第三方完成
步骤四:当服务器有消息需要推送给APP时,服务器会携带推送证书和推送的消息体去通知APNS(如果是第三方推送,由服务器推送消息给第三方后端,由第三方去连接APNS)。
步骤五:APNS收到需要推送的消息后,对携带的证书进行鉴权,如果通过,则根据APNS的推送规则,将消息下发给手机。
步骤六:当手机收到来自苹果的推送消息后,在展示前会先判断开发者是否有实现推送消息拦截,如果没有,则直接展示;如果有实现拦截,则交给开发者处理。
三、证书被删或者过期
如果无意之中把推送证书删了,或者是证书过期失效了,这时候该怎么办?
首先需要将原有的无效的证书清理干净,并在开发者中心找到你APP的标识
进入到自己APP的服务列表里,找到推送服务,重新编辑或者创建证书
接下来的步骤就和上文中提到的步骤一模一样了。