AFNetworking框架下的SSL服务器证书的自定义验证

最新推荐文章于 2023-06-25 16:25:00 发布
最新推荐文章于 2023-06-25 16:25:00 发布
阅读量317 收藏
点赞数
文章标签: python
原文链接:https://my.oschina.net/u/3729372/blog/1596609
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

# AFNetworking框架下的SSL服务器证书的自定义验证

 

## 如何使用本地证书进行SSL验证

 

#### 开启SSL验证

需要设置 `AFHTTPSessionManager` 的 `setSecurityPolicy` ,使用 `AFSSLPinningModeCertificate` 证书验证模式

 

```

[AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate]

```

 

然后进行 `AFSecurityPolicy` 的一系列设置,如下

```

+ (AFSecurityPolicy *)customSecurityPolicy {

    AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate]; // 设置证书验证模式

    [securityPolicy setAllowInvalidCertificates:NO]; //  是否允许无效证书(也就是自建的证书),默认为NO.如果是需要验证自建证书,需要设置为YES

    [securityPolicy setValidatesDomainName:YES]; // 验证域名

    

    // 设置证书

    NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"itouchtv_app" ofType:@"cer"];

    NSData *certData = [NSData dataWithContentsOfFile:cerPath];

    [securityPolicy setPinnedCertificates:[NSSet setWithObject:certData]];

    

    return securityPolicy;

}

 

```

 

#### 关闭SSL验证

只需要使用 `AFSSLPinningModeNone` 模式,即可关闭SSL验证

 

```

[AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeNone]

```

 

 

 

## 自定义实现SSL证书的验证逻辑

 

#### 使用 NSURLSession 走 HTTPS 通道访问网站或接口

NSURLSession的 ` -URLSession:didReceiveChallenge:completionHandler: ` 回调中会收到一个类型为 `NSURLAuthenticationChallenge` 的质询 challenge,在此回调中,进行证书信息的认证,以决定是否继续连接服务器,或者断开连接。

 

通过 challenge.protectionSpace.authenticationMethod 获取保护空间要求认证的方式,如果值是 `NSURLAuthenticationMethodServerTrust` ,就可以走数字证书的自定义验证逻辑了。

 

#### AFNetworking 下的具体实现方式

跟 `NSURLSession` 是相同的原理,质询的回调是 `AFHTTPSessionManager` 的 `setSessionDidReceiveAuthenticationChallengeBlock` 。

 

 

#### SSL证书的层级和自定义验证逻辑

SSL证书,一般有三层,根证书和二级证书是申请证书时的权威可信的颁发机构的证书,在换证书时,是保持不变的,所以可以使用字符串常量来直接验证是否相等,即可完成根证书和二级证书的验证。

 

而最后一层,才是每个证书申请者自己的独特的信息,也是需要自定义验证的部分。

 

##### 具体代码

关键在于 `isServerTrust` 变量,表示自定义验证通过。

 

```

        // 设置验证模式

        AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];

        securityPolicy.allowInvalidCertificates = NO;//是否允许使用自签名证书

        securityPolicy.validatesDomainName = YES;//是否需要验证域名,默认YES

        [manager setSecurityPolicy:securityPolicy];

 

        // 自定义验证证书

        [manager setSessionDidReceiveAuthenticationChallengeBlock:^NSURLSessionAuthChallengeDisposition(NSURLSession *session, NSURLAuthenticationChallenge *challenge, NSURLCredential *__autoreleasing *_credential)

        {

            BOOL isServerTrust = NO;//所有证书验证通过

            

            BOOL isCertRootTrust = NO;//根证书验证通过

            BOOL isCertSecondTrust = NO;//二级证书验证通过

            BOOL isCertClientTrust = NO;//最后一级,本地证书验证通过

            

            //取得服务器返回的三级证书

            SecTrustRef serverTrust = [[challenge protectionSpace] serverTrust];

            

            //遍历服务器返回的证书

            CFIndex certificateCount = SecTrustGetCertificateCount(serverTrust);

            for (CFIndex i = certificateCount - 1; i >= 0; i--) {

                SecCertificateRef certificate = SecTrustGetCertificateAtIndex(serverTrust, i);

                NSString *subjectSummary = (__bridge_transfer NSString *)SecCertificateCopySubjectSummary(certificate);

                

                //证书NSData转为NSString

                CFDataRef certData = SecCertificateCopyData(certificate);

                NSString *certificateBase64String = [(__bridge_transfer NSData *)certData base64EncodedStringWithOptions:0];

                

                //比较本地保存的一级和二级证书NSString

                if (i == certificateCount - 1) {//一级根证书

                    if ([certificateBase64String isEqualToString:certStringForRoot]) {

                        isCertRootTrust = YES;

                    }

                } else if (i == certificateCount - 2) {//第二级证书

                    if ([certificateBase64String isEqualToString:certStringForSecondLevel]) {

                        isCertSecondTrust = YES;

                    }

                } else if (i == 0) {//第三级:要部分验证的本地证书

  

                    //获取本地证书

                    NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"app" ofType:@"cer"];

                    NSData *certData = [NSData dataWithContentsOfFile:cerPath];

                    SecCertificateRef certificateLocal = SecCertificateCreateWithData(NULL, (__bridge CFDataRef)certData);

                    

                    //域名

                    NSString *subjectSummaryLocal = (__bridge_transfer NSString *)SecCertificateCopySubjectSummary(certificateLocal);

                    

                    //验证

                    if ([subjectSummary isEqualToString:subjectSummaryLocal])

                    {

                        isCertClientTrust = YES;

                    }

                }

            }

            

            NSLog(@"一级根证书是否验证通过:%@,第二级证书是否验证通过:%@,第三级本地证书是否验证通过:%@", @(isCertRootTrust), @(isCertSecondTrust), @(isCertClientTrust));

            

            //判断所有证书是否验证通过

            if (isCertRootTrust && isCertSecondTrust && isCertClientTrust) {

                isServerTrust = YES;

            }

 

            NSURLSessionAuthChallengeDisposition disposition = NSURLSessionAuthChallengePerformDefaultHandling;

            __autoreleasing NSURLCredential *credential = nil;

            if ([challenge.protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust]) {

//                if ([manager.securityPolicy evaluateServerTrust:challenge.protectionSpace.serverTrust forDomain:challenge.protectionSpace.host]) { // 此处注释的,为默认的处理方式

                if (isServerTrust) { // 要自定义验证,需要使用自己的判断逻辑

                    credential = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];

                    if (credential) {

                        disposition = NSURLSessionAuthChallengeUseCredential;

                    } else {

                        disposition = NSURLSessionAuthChallengePerformDefaultHandling;

                    }

                } else {

                    disposition = NSURLSessionAuthChallengeCancelAuthenticationChallenge;

                }

            } else {

                disposition = NSURLSessionAuthChallengePerformDefaultHandling;

            }

            return disposition;

        }];

        

        [TTVPlayerMoniter sharedMointerManager];

 

    });

    

```

转载于:https://my.oschina.net/u/3729372/blog/1596609

weixin_34090562
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
AFNetworking之于https认证
gcs的博客
01-07 673
服务器传过来的,里面包含了服务器证书信息,是用来我们本地客户端去验证证书是否合法用的,后面会更详细的去讲这个参数)然后如果有证书,则用证书认证方式,否则还是用默认的验证方式。再讲简单点,其实就是一个容器,装了服务器端需要验证证书的基本信息、公钥等等,不仅如此,它还可以装一些评估策略,还有客户端的锚点证书,这个客户端的证书,可以用来和服务端的证书去匹配验证的。唯一需要注意的是,这个获取的证书排序,是从证书链的叶节点,到根节点的。客户端用之前生成的私钥解密服务段传过来的信息,于是获取了解密后的内容。
iOS开发 - 用AFNetworking实现https单向验证,双向验证
CodingFire的博客
12-01 9568
这里写链接内容自苹果宣布2017年1月1日开始强制使用https以来,htpps慢慢成为大家讨论的对象之一,不是说此前https没有出现,只是这一决策让得开发者始料未及,博主在15年的时候就做过https的接口,深知此坑之深,原因就是自身对这方面知识不了解加上网上的资料少,除此外还有博客不知对错就互相转载,导致当时网上几乎找不到能用的代码,这一点,博主说的毫不夸张。鉴于此,博主一直想填一下这个坑,多
AFNetWorking https SSL认证 CA证书验证
wsyuzx的专栏
02-14 888
参考来源:http://www.cnblogs.com/jys509/p/5001566.html     工作需求:https请求验证 IOS端支持https请求  先拿到后台的CA证书  我这里是参考上面的   让后台给了个 509.crt证书文件   mac上双击509.crt文件  然后在钥匙串导出为cer格式   把cer格式文件放入工程中  接
AFNetworking源码解读之AFSecurityPolicy模块中的Https验证
Deft_MKJing的博客
12-01 1120
Https简单介绍可以简单理解为在http的基础上加了证书的认证过程,网上很多Https的介绍以及单向双向认证介绍,这里简单的以单向认证为例 第一阶段:ClientHello客户端发起请求,以明文传输请求信息,包含版本信息,加密套件候选列表,压缩算法候选列表,随机数random_C,扩展字段等信息。第二阶段:ServerHello-ServerHelloDone如上图可以看出这个阶段包含4个过程(
AFNetworking 中 设置 https的SSL认证
技术无他,努力是也
02-04 643
1.为什么要用SSL.一般来讲如果app用了web service , 我们需要防止数据嗅探来保证数据安全.通常的做法是用ssl来连接以防止数据抓包和嗅探.其实这么做的话还是不够的 。 我们还需要防止中间人攻击(不明白的自己去百度)。攻击者通过伪造的ssl证书使app连接到了伪装的假冒的服务器上,这是个严重的问题!那么如何防止中间人攻击呢?首先web服务器必须提供一个ssl证书,需要一个 .crt
iOS适配https证书问题(AFNetworking3.0为例)
08-31
这篇文章以AFNetworking 3.0框架为例,详细讲述了如何在iOS应用中适配HTTPS证书,确保安全连接。 首先,你需要获取SSL证书。这通常由你的服务器后台提供。如果你拿到的是.crt格式的证书,你需要在终端中通过`...
AFNetworking
08-11
AFSecurityPolicy允许开发者设置SSL/TLS策略,如自签名证书的接受、验证策略等,确保了数据传输的安全。 ### 二、请求与响应处理 AFNetworking通过Block或Delegate方式处理网络请求的响应。你可以定义请求成功和...
AFNetworking3.0
07-07
- **HTTPS支持**:AFNetworking可以处理HTTPS请求,支持SSL证书验证。 - **HTTP基本认证和OAuth**:可以方便地集成HTTP基本认证和OAuth认证机制。 9. **性能优化** - **缓存策略**:通过配置...
SecCertificate 解析
最新发布
旭日的博客
06-25 314
数字证书
Afnetworking3.0以后的Https双向验证使用
高先生的猫
06-29 1167
最近在做新的项目,现在改用Https做验证了,开始以为没什么觉得不会遇到坑,后来才发现自己是真的遇到坑了,现在把自己遇到的坑都说一遍,增加别人的效率。 首先,大家百度来的afnetworking的https验证,一般的讲解都是单向验证的。而我们这次是双向验证的,就是客服端和服务端都验证。一开始自己收到了两个证书,一个是pem格式的(服务端证书)和另外一个是p12格式的(客户端证书)。所以我们这两个证书是都要验证的,但是afnetworking好像是不支持pem格式证书直接验证的,所以首先要把pem的证书转换
iOS 基于AFNetworking下自签名证书配置的方法
08-27
本篇文章主要介绍了iOS 基于AFNetworking下自签名证书配置的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
通过Authentication Challenge来信任自签名Https证书
Sinolife0605的博客
11-08 452
在开发阶段我们我们经常使用自签名的证书来部署我们的后台rest api。但是在iOS中调用的时候就会因为证书不被信任而调用api不成功。这时候我们就需要通过实现某些网络回调函数来自定义证书验证逻辑。(在iOS中一般通过UrlSession(OC中是NSUrlSession)来进行网络通信,这里以UrlSession为例)。首先我们需要了解几个概念。 Challenge      C...
AFNetworking 3.0 https请求忽略证书验证
Litchi的专栏
08-05 4971
1、修改AFNetworking中修改源码,在AFSecurityPolicy.m注释掉这几句 - (BOOL)evaluateServerTrust:(SecTrustRef)serverTrust forDomain:(NSString *)domain { // if (domain && self.allowInvalidCertificates
AFNetworking允许不通过证书验证访问https(AFNetworking+SSL
jueyi1127的博客
10-28 8867
AFNetworking如何允许不通过证书验证访问https?如何使用自签名证书进行验证
ios AFNetworking https 双向证书验证实现
songbai1211的专栏
12-10 4928
因为公司对接口做了安全处理,部分接口实现https 加密,双向验证就是 ,服务端要验证客户端,客户端也要验证服务器端,通过证书验证首先,因为用的是AFNetworking实现的网络请求,已经自带https 服务,只需要加以下代码 //设置https 请求 self.securityPolicy=[AFSecurityPolicypolicyWithPinningMode:AFSSLPi
iOS基于AFNetworking使用自签名证书实现HTTPS请求
dongruanlong的博客
05-23 4812
iOS基于AFNetworking使用自签名证书实现HTTPS请求
HTTPS连接过程及证书自定义认证
weixin_34055910的博客
12-15 572
2019独角兽企业重金招聘Python工程师标准>>> ...
iOS AFNetworking使用自签名证书实现HTTPS请求
wenhaiwang的专栏
12-12 1287
二:HTTPS加密方式 对称加密只有一个密钥,加密和解密都用这个密钥; 非对称加密有公钥和私钥,私钥加密后的内容只有公钥才能解密,公钥加密的内容只有私钥才能解密。公钥加密的另一用途是身份验证:用私钥加密的信息,可以用公钥对其解密,接收者由此可知这条信息确实来自于拥有私钥的某人。私钥加密的过程即数字签名 为了提高安全性,我们常用的做法是使用对称加密的手段加密数据。可是只使用对称加密的话,双方通...
iOS 的三种自建证书方法https请求相关配置
04-16 2231
如果你的app服务端安装的是SLL颁发的CA,可以使用系统方法直接实现信任SSL证书,关于Apple对SSL证书的要求请参考:苹果官方文档CertKeyTrustProgGuide 这种方式不需要在Bundle中引入CA文件,可以交给系统去判断服务器端的证书是不是SSL证书验证过程也不需要我们去具体实现。 第1种 #import “ViewController.h” #import “HttpM..................
如何修改Zabbix服务器配置禁用SSL证书验证
03-31
要禁用Zabbix服务器SSL证书验证,可以按照以下步骤进行操作: 1. 打开Zabbix服务器的配置文件zabbix_server.conf,可以通过以下命令找到该文件的位置: ``` find / -name zabbix_server.conf ``` 2. 在该文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值