APNS推送原理及证书鉴权

以下所有内容均为个人观点，转载请注明出处<--小蜗牛吱呀之悠悠 >，谢谢！

工作的某一天，线上APP的推送服务突然失效了，源于解决这个问题，整理归纳一下APNS推送和证书的底层逻辑。

一、推送的简单流程

image.png

推送大致流程如上图所示，简单来说是服务端将消息发送给APNS，然后由APNS将消息推送给手机，在手机收到消息后进行进一步的处理，最后展示出来。这个流程包括了第三方推送（个推、极光、友盟等），只是第三方推送在图中第一第二环节增加了处理，代替我们自己的服务端去和苹果交互。另外，图中所示的Extension环节是推送消息在手机展示前，由APP开发者进行处理的最后一环节，可以修改展示的内容，包括文字、增加图片等，如果想要进一步了解这个环节的实现步骤，可以参考我另一篇文章iOS极光推送带图片模式

二、各环节具体做了什么事情

前面我们简单介绍了一下推送的基本流程，这一节我们具体聊聊每一个环节到底做了什么，是如何将消息一个环节一个环节成功传递的。

1、推送证书的原理

我们都知道，要实现iOS的消息推送，需要准备好推送证书，并且开启推送服务。现在我们来简单回顾一下推送证书是如何申请的。
首先，我们需要从钥匙串中申请一个CSR文件
申请步骤：打开钥匙串，如下图：

iCSR申请.png

填写信息后就可以生成如下图所示的CSR文件

CSR文件

然后找到苹果开发者网站中创建证书的地方，将CSR上传，并创建证书，然后将证书下载下来安装即可。

image.png

    在上述环节中，涉及到两个东西（CSR文件、.cer后缀的推送证书），这两个文件里面是什么？有什么作用？
    苹果官方有一对密钥，私钥在苹果后台，公钥在iOS系统中（出厂后就已经携带），姑且称作公钥（iOS）、私钥（iOS）；

在MAC中请求CSR文件时，会生成一对公钥(mac)、私钥(mac)。

生成CSR的时候，由MAC创建公私钥，并将公钥(mac)放入CSR，当我们将CSR文件上传到开发者平台时，苹果会用私钥（iOS）对公钥(mac)进行签名，生成.cer证书文件。也就是说，CSR携带公钥(mac)，.cer证书包含了加密后的CSR和一些其他的权限信息。

那推送证书在推送的过程是怎么发挥作用的呢？在理解这个问题之前，我们先了解一下app是怎么安装到手机上的。

2、APP安装时签名、验签过程

1、首先，在使用Xcode对APP进行打包的时候，会用私钥（mac）对包进行签名，然后把描述文件一起放到包里。

由于发布APP需要发布证书（product.cer），根据我们前面的介绍，这个证书也是携带了CSR的，并且是被私钥（iOS）加密的。
2、在完成第一步后，Xcode会将发布证书、设备信息、APPID等内容一并使用私钥（iOS）再加密签名一次

3、最后，将步骤1、步骤2的产物一起组成ipa包，然后发布到App Store。

4、当用户下载APP安装时，手机会用出厂时就携带的公钥（iOS）对ipa包解密（步骤2的产物两次解密），得到步骤1的产物、发布证书、设备信息等内容。

到这里，一个ipa包被拆解为这些内容：用私钥（mac）对.app包签名后的描述文件、用私钥（iOS）对CSR签名的证书。

5、用公钥（iOS）对证书解签，得到CSR，并从CSR文件中拿到公钥(mac)

6、用步骤5得到的公钥(mac)再去解签描述文件，得到.app包。

在上述过程中，公私钥（iOS）主要起到苹果授权的作用，公私钥（mac）主要起到校验包是否被篡改的作用。

3、推送是如何通信鉴权的

了解了APP安装的流程后，我们知道，在APP打包过程，会将证书等信息放到包里进行加密，推送证书也就是这个环节被放到了包里。那么推送是怎么完成闭环的呢？接下来我们看下面这张图：

image.png

完成完整的推送，大致有下面几个环节：

步骤一：启动APP时，通常会去请求推送权限，当用户点击允许后，手机就会拿着设备标识、推送证书发送给APNS服务器，苹果收到这些信息后，会根据推送证书、设备标识、APP信息去验证是否具有推送权限，如果有推送权限，苹果会将这台设备信息放入推送列表中。

步骤二：在苹果通过权限校验后，会根据设备标识和APP标识生成一个deviceToken，并将这个deviceToken返回给APP。

步骤三：deviceToken送达手机后，会在APP中的下述方法告知开发者

-(void)application:(UIApplication *)application didRegisterForRemoteNotificationsWithDeviceToken:(NSData *)deviceToken

当这个方法回调时携带deviceToken后，根据接入推送服务的不同，可以分为自己服务器和第三方服务器。如果是自己的服务器实现推送（七鱼），则将deviceToken直接传给后端即可；如果是接入了第三方SDK，则传给第三方服务商的后端，后续的推送则由第三方完成

步骤四：当服务器有消息需要推送给APP时，服务器会携带推送证书和推送的消息体去通知APNS（如果是第三方推送，由服务器推送消息给第三方后端，由第三方去连接APNS）。

步骤五：APNS收到需要推送的消息后，对携带的证书进行鉴权，如果通过，则根据APNS的推送规则，将消息下发给手机。

步骤六：当手机收到来自苹果的推送消息后，在展示前会先判断开发者是否有实现推送消息拦截，如果没有，则直接展示；如果有实现拦截，则交给开发者处理。

三、证书被删或者过期

如果无意之中把推送证书删了，或者是证书过期失效了，这时候该怎么办？
首先需要将原有的无效的证书清理干净，并在开发者中心找到你APP的标识

image.png

进入到自己APP的服务列表里，找到推送服务，重新编辑或者创建证书

image.png

接下来的步骤就和上文中提到的步骤一模一样了。