如果你对网络通信协议很模糊,那建议你看一下这本书《图解HTTP》。下面是对于iOS开发人员来说的关键点总结!
对于大部分APP来说,APP内部大部分的网络数据都是通过HTTP\HTTPS协议传输过来的,所以了解HTTP协议是非常重要的,这对于你在APP项目设计网络层方案时也是起作用的。
一、网络基础-TCP/IP
互联网相关协议的总称为TCP/IP.
1. TCP/IP的分层(不是OSI七层网络协议)管理分工如下:
应用层:面向具体的应用程序功能设计的协议。比如有HTTP(超文本传输协议)、FTP(文件传输协议)、SMTP(电子邮件协议)、DNS协议(域名解析).
传输层:面向
应用层,提供处于网络连接中的两台计算机之间的数据包传输功能。如:TCP(传输控制协议)、UDP(数据报协议).网络层: 处理数据包在多台计算机之间的传输路线问题 ( 即选择合适的网间路由和交换结点 ) 。如:IP协议. 两个重要概念:IP地址是网络节点被分配的地址,MAC地址是网卡所属的固定地址。
链路层: 又称网络接口层, 主要是硬件范畴(操作系统\网卡\光纤\硬件驱动 ).
2. TCP确保可靠性的3次握手4次挥手
1)第一次挥手:Client发送一个FIN,用来关闭Client到Server的数据传送,Client进入FIN_WAIT_1状态。
2)第二次挥手:Server收到FIN后,发送一个ACK给Client,确认序号为收到序号+1(与SYN相同,一个FIN占用一个序号),Server进入CLOSE_WAIT状态。
3)第三次挥手:Server发送一个FIN,用来关闭Server到Client的数据传送,Server进入LAST_ACK状态。
4)第四次挥手:Client收到FIN后,Client进入TIME_WAIT状态,接着发送一个ACK给Server,确认序号为收到序号+1,Server进入CLOSED状态,完成四次挥手。
二、HTTP通信
HTTP通过客户端请求服务器响应来完成一次通信,在HTTP 1.1之前版本响应完成,连接就会断开,因为这样会导致TCP连接频繁地断开、连接,所以后续版本HTTP默认支持持久连接(keep-alive), 只要任意一端没有明确提出断开连接就会保持这个连接状态。
1、请求报文、响应报文
请求时客户端发送请求报文,响应时服务器发送响应报文。2、是无状态协议
HTTP不保存通信状态,即用户在网页登录之后加载新的网页,用户状态不会被HTTP保存,因此通常会使用Cookie技术来实现保留用户的登录状态。
Cookie技术通过在响应报文中添加set-Cookie字段来通知客户端保存,在下次请求时,客户端会自动在请求报文中加入Cookie。
3、HTTP的响应状态码
状态码表明请求是正常处理了还是出错,状态码可以自定义,但一般有以下几种
304状态码时并非是重定向,它表示服务器允许访问资源但请求未满足条件。
4、Web服务器相关内容
代理:客户端和服务器之间的“中间人”,可接收客户端请求转发给服务器、接收服务器响应转发给客户端。增加
代理的意义是可利用缓存减少网络带宽流量、访问控制、获取访问日志。-
网关:与代理的工作机制相似,但网关可以与服务器之间进行非HTTP通信
网关.png 隧道:在客户端和服务器之间建立的通信线路,目的是为了确保安全的通信。
5、HTTP首部字段
首部字段有很多,列举下面2个经常用到的。
- Host : 这个字段是必须的字段,因为一个服务器可能有多个虚拟主机,而ip地址是一致的,需要根据host来区分是访问哪个虚拟主机。
- User-Agent: 可以称为UA,一般是通过这个字段将创建请求的浏览器和用户代理信息传达给服务器。
三、HTTP通信安全
1、HTTP存在的缺点:
- 通信未加密,内容可能会被窃听。通信内容在通信线路上都有可能遭到窥视,比如使用抓包工具Wireshark解析请求或相应的内容。
- 不验证通信方的身份,因此客户端或服务器都可能是伪装的。
- 无法证明报文是否已经遭到篡改(即中间人攻击)。
2、身披SSL外壳的HTTPS
HTTPS并非是应用层的一种新协议,只是HTTP通信接口部分增加了SSL和TLS协议
HTTPS使用共享秘钥加密(对称加密)和公开秘钥加密(非对称加密)组合来实现安全(首先通过非对称加密方式交换对称加密要使用的密钥,然后在确保交换的秘钥是安全的前提下,使用共享密钥加密方式进行通信)。
3、验证服务器身份
在建立通信时,如果是直接将服务器公钥传给客户端,那客户端需要验证公开密钥是目标服务器提供的,不然存在跟伪装的服务器通信的风险,现行的解决方案是服务器人员先向数字证书认证机构(如:威瑞信VeriSign)申请公钥证书,公钥证书是认证机构对你服务器的公钥等信息做数字签名生成的(数字签名就是用私钥加密的意思),运用这个证书来证明服务器的身份。具体确认服务器身份步骤是:
- 客户端系统或浏览器一般会事先植入权威数字证书认证机构的
公开密钥。 - 在实际建立通信时,服务器会将申请的公钥证书发送给客户端,客户端会对这个证书进行
验签(验签就是用上一步的公钥去解密)。 - 验签成功后就可以使用服务器的公钥对报文进行加密了,服务器收到密文用自己的私钥解密得到报文。
关于私钥加密的介绍查看文章rsa公钥和私钥到底哪个才是用来加密,哪个用来解密?
4、验证客户端身份
验证客户端身份的步骤跟验证服务器步骤一样,这就需要客户端在通信前安装了证书,在通信时才能传的到服务器,然而要让用户在使用浏览器访问网站时安装证书,这很艰难,所以验证客户端身份一般是在安全性要求极高的特殊业务中使用,如网上银行。
5、HTTPS双向验证
请查看HTTPS实战之单向验证和双向验证
四、iOS APP中的HTTP通信注意点
1. 现在大多数APP使用HTTPS通信,如果要使用HTTP,需要自己在info.plist设置
方法1. 允许所有域名进行HTTP,NSAllowsArbitraryLoads=YES。
方法2. 只允许内定的几个域名下HTTP通信,则要NSAllowsArbitraryLoads=NO,然后添加域名白名单,添加键值对Exception Domins
NSIncludesSubdomains = YES
NSExceptionRequiresForwardSecrecy = NO
NSExceptionAllowsInsecureHTTPLoads = YES,如下图:
2. 使用HTTPS通信如何实现证书验证
证书验证分为服务器对客户端证书验证、客户端对服务器CA证书认证。iOS网络请求通过NSURLSession的API来实现,在进行HTTPS请求建立连接时,会调用NSURLSessionDelegate或者NSURLSessionTaskDelegate里面的代理方法, 实现其中一个就可以了。
@protocol NSURLSessionDelegate
@optional
- (void)URLSession:(NSURLSession *)session didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge
completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition disposition, NSURLCredential * _Nullable credential))completionHandler;
@end
@protocol NSURLSessionTaskDelegate
@optional
- (void)URLSession:(NSURLSession *)session task:(NSURLSessionTask *)task
didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge
completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition disposition, NSURLCredential * _Nullable credential))completionHandler;
@end
对于购买了权威认证机构的CA公钥证书、或者自建证书,需要自己实现对证书的验证,验证方式可以参考AFNetworking的3种安全策略。
AFSSLPinningModeNone, // APP内部没放证书,要验证服务器证书
AFSSLPinningModePublicKey, // APP内部放了证书,要验证服务器证书,且要将服务器证书里面的公钥跟APP内部证书的公钥比对
AFSSLPinningModeCertificate, // APP内部放了证书,要验证服务器证书,且证书要跟APP内部的证书比对
详细的验证方式可查看文章AFNetworking里面的HTTPS安全策略实现原理
五、使用HTTP通信的瓶颈
- 服务器无法及时地通知客户端更新数据,需要等待客户端主动请求。
- 客户端如果需要频繁请求,会造成与服务器的频繁连接断开,服务器负载过重。
针对这个问题,WebSocket协议、HTTP2.0或许可以帮助形成解决方案。
参考文章:
网络知识梳理--OSI七层网络与TCP/IP五层网络架构及二层/三层网络
iOS HTTPS请求的网络安全处理
iOS: HTTPS 与自签名证书
iOS基于AFNetworking使用自签名证书实现HTTPS请求