本文主要是介绍https信任证书的三种方,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
苦逼的我调试AFNetworking发送https请求的bug ---------调试了一个上午,终于解决了
证书信任的过程:
证书的信任是通过代理的方式进行信任(NSURLConnection和NSURLSession两种方式进行信任)
客户端信任证书的过程:
1.当客户端要访问服务器的时候,服务器向客户端发送受保护的信任证书
2.客户端判断是否对客户端发送的证书进行信任,,
3.如果信任.则客户端会安装公钥在客户端,而服务器就拥有受保护证书的密钥,每一次向服务器请求数据的时候,服务器会先将要发送的数据进行密钥加密,客户端对所传数据通过公钥解密
下面分享一下自己的经验:
一开始请求数据先要信任证书,然后才能请求数据,不过对于百度,apple官网这样的大网站就不需要信任证书了,
只需要信任一次服务器证书
在信任证书的时候有两种方式:
大家熟知的有NSURLSession和NSURLConnection两种信任证书的方式,我会重点将第三种:
如果不信任证书的话会报下面的错误:
// NSURLSession/NSURLConnection HTTP load failed (kCFStreamErrorDomainSSL, -9843)
一.NSURLSession的方式信任证书是通过代理的方式:
1.先懒加载全局的会话:
- @property (nonatomic, strong) NSURLSession *session;
- - (NSURLSession *)session {
- if (_session == nil) {
- NSURLSessionConfiguration *config = [NSURLSessionConfiguration defaultSessionConfiguration];
- _session = [NSURLSession sessionWithConfiguration:config delegate:self delegateQueue:nil];
- }
- return _session;
- }
2.发起数据任务
-
- NSURL *url = [NSURL URLWithString:@"https://域名"];
-
-
- [[self.session dataTaskWithURL:url completionHandler:^(NSData * _Nullable data, NSURLResponse * _Nullable response, NSError * _Nullable error) {
- NSLog(@"%@---%@",response,[[NSString alloc] initWithData:data encoding:NSUTF8StringEncoding]);
- }] resume];
3.代理方法中实现证书的信任-----------
- - (void)URLSession:(NSURLSession *)session task:(NSURLSessionTask *)task
- didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge
- completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition disposition, NSURLCredential * __nullable credential))completionHandler {
-
-
-
-
-
-
-
- if(challenge.protectionSpace.authenticationMethod == NSURLAuthenticationMethodServerTrust) {
-
-
- NSURLCredential *credntial = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];
-
- completionHandler(NSURLSessionAuthChallengeUseCredential,credntial);
- }
- NSLog(@"protectionSpace = %@",challenge.protectionSpace);
- }
二.NSURLConnection的方式信任证书也是通过代理的方式:
1.发送请求:
-
- NSURL *url = [NSURL URLWithString:@"https://mail.itcast.cn"];
-
-
- NSURLRequest *request = [NSURLRequest requestWithURL:url];
-
-
- [NSURLConnection connectionWithRequest:request delegate:self];
2.信任证书
- #pragma mark - NSURLConnectionDataDelegate 代理方法
- - (void)connection:(NSURLConnection *)connection willSendRequestForAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge {
-
- if(challenge.protectionSpace.authenticationMethod == NSURLAuthenticationMethodServerTrust) {
-
-
- NSURLCredential *credntial = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];
-
- [challenge.sender useCredential:credntial forAuthenticationChallenge:challenge];
- }
- }
3.获取请求到的数据
- - (void)connection:(NSURLConnection *)connection didReceiveData:(NSData *)data {
- NSLog(@"data = %@",[[NSString alloc] initWithData:data encoding:NSUTF8StringEncoding]);
- }
三.AFNetworking的方式信任服务器证书:
先上代码:
- AFHTTPSessionManager *manager = [AFHTTPSessionManager manager];
- manager.securityPolicy.validatesDomainName = NO;
- manager.responseSerializer = [AFHTTPResponseSerializer serializer];
- manager.responseSerializer.acceptableContentTypes = [NSSet setWithObjects:@"application/json", @"text/json", @"text/javascript",@"text/html", nil nil];
- [manager GET:@"https://域名" parameters:nil progress:^(NSProgress * _Nonnull downloadProgress) {
- NSLog(@"%@",downloadProgress);
- } success:^(NSURLSessionDataTask * _Nonnull task, id _Nullable responseObject) {
- NSLog(@"%@---%@",[responseObject class],responseObject);
- NSLog(@"%@",[[NSString alloc]initWithData:responseObject encoding:NSUTF8StringEncoding]);
- } failure:^(NSURLSessionDataTask * _Nullable task, NSError * _Nonnull error) {
- NSLog(@"%@",error);
- }];
注意解释遇到的坑:
1.https的协议直接请求的时候会报下面的错:
NSURLSession/NSURLConnection HTTP load failed (kCFStreamErrorDomainSSL, -9843)
2.设置属性
不能将 validatesDomainName设置为NO,当设置为NO以后可以发出任意的请求,所以要将其设置为YES(默认是YES)-----重点
manager.securityPolicy.validatesDomainName =YES;
AFNetworking 的安全相關設定放在 AFSecurityPolicy
,它定義了三種 SSL Pinning Mode:
-
AFSSLPinningModeNone
: 你不必將憑證跟你的 APP 一起打包,完全信任伺服器的憑證
-
AFSSLPinningModeCertificate
: 比對伺服器憑證跟你的憑證是否完全匹配 -
AFSSLPinningModePublicKey
: 只比對伺服器憑證的 public key 跟你的憑證的 public key 是否匹配
那要選用何種模式比較好呢?
AFSSLPinningModeCertificate
比較安全但也比較麻煩,它會比對你打包的憑證跟伺服器的憑證是否一致。因為你的憑證是跟 APP 一起打包的,這也就代表說如果你的憑證過期了或是變動了,你就得出一版新的 APP 而且舊版 APP 的憑證就失效了。你也可以在每次 APP 啟動時,就自動連到某個伺服器下載最新的憑證,不過此時這個下載連線就會是有風險的。
AFSSLPinningModePublicKey
則是只有比對憑證裡的 public key,所以即使伺服器憑證有所變動,只要 public key 不變,就能通過驗證。
所以如果你能確保每個使用者總是使用最新版本的 APP(例如是公司企業內部專用的),那就可以考慮 AFSSLPinningModeCertificate
,否則的話選擇 AFSSLPinningModePublicKey
是比較實際的作法。
解决了证书信任的问题,也就是说设置上面的属性以后就可以信任证书了
但是问题没有解决:越到了经常遇到的问题,就是请求的数据打印有问题,
Error Domain=com.alamofire.error.serialization.response Code=-1016 "Request failed: unacceptable content-type: text/html"
原因:
这是因为 AFNetworking默认把响应结果当成json来处理,(默认manager.responseSerializer = [AFJSONResponseSerializer serializer]) ,很显然,我们请求的百度首页 返回的并不是一个json文本,而是一个html网页,但是AFNetworking并不知道,它坚信请求的结果就是一个json文本!然后固执地以json的形式去解析,显然没办法把一个网页解析成一个字典或者数组,所以产生了上述错误.
然而,我们期望它能够正确地处理这个情形,而不是提示一个错误.
这时候 你必须告诉AFNetworking:别把这个网页当json来处理!
解决办法:
只需要在发送请求前加入:manager.responseSerializer = [AFHTTPResponseSerializer serializer]
以上步骤就可以实现https证书的信任和正确的获取例如baidu.com首页的html的源码...
附加说明:
网页上加载的数据本质是字符串,我们将获取到的网页数据通过二进制转字符串的形式可以讲网页数据进行打印:
NSLog(@"%@",[[NSStringalloc]initWithData:responseObjectencoding:NSUTF8StringEncoding]);
有了上面的解决办法是不是不知道如何获取凭证能,别急,下面添加如何获取制定域名的凭证:
参考链接:
http://nelson.logdown.com/posts/2015/04/29/how-to-properly-setup-afnetworking-security-connection/
这篇关于https信任证书的三种方的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!