在iOS開發中，是如何處理好網路加密這塊的？[個人詳細分析]

-Advertisement-

公司的介面一般會兩種協議的，一種HTTP，一種HTTPS的，HTTP 只要請求，伺服器就會響應，如果我們不對請求和響應做出加密處理，所有信息都是會被檢測劫持到的，是很不安全的，客戶端加密可以使用本文這套工具類進行處理。導言公司的介面一般會兩種協議的，一種HTTP，一種HTTPS的，HTTP 只要 ...

　　公司的介面一般會兩種協議的，一種HTTP，一種HTTPS的，HTTP 只要請求，伺服器就會響應，如果我們不對請求和響應做出加密處理，所有信息都是會被檢測劫持到的，是很不安全的，客戶端加密可以使用本文這套工具類進行處理。

　　導言

　　但是不論在任何時候，都應該將服務置於HTTPS上，因為它可以避免中間人攻擊的問題，還自帶了基於非對稱密鑰的加密通道。

　　HTTPS交互原理

　　簡答說，HTTPS 就是 HTTP協議加了一層SSL協議的加密處理，SSL 證書就是遵守 SSL協議，由受信任的數字證書頒發機構CA（如GlobalSign，wosign），在驗證伺服器身份後頒發，這是需要花錢滴，簽發後的證書作為公鑰一般放在伺服器的根目錄下，便於客戶端請求返回給客戶端，私鑰在伺服器的內部中心保存，用於解密公鑰。

　　HTTPS 客戶端與伺服器交互過程：

　　1）客戶端發送請求，伺服器返回公鑰給客戶端；

　　2）客戶端生成對稱加密秘鑰，用公鑰對其進行加密後，返回給伺服器；

　　3）伺服器收到後，利用私鑰解開得到對稱加密秘鑰，保存；

　　4）之後的交互都使用對稱加密後的數據進行交互。

　　證書

　　簡單說，證書有兩種，一種是正經的：

　　CA頒發的證書

　　一種是不正經的：

　　自己生成簽發的證書

　　我們需要做什麼

　　如果遇到正經的證書，我們直接用AFNetworking 直接請求就好了，AFNetworking 內部幫我們封裝了HTTPS的請求方式，但是大部分公司介面都是不正經的證書，這時需要我們做以下幾步：

　　1）將伺服器的公鑰證書拖到Xcode中

　　2）修改驗證模式

　　manager.securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModePublicKey];

　　原理

　　簡單來說，就是你本可以修改AFN這個設置來允許客戶端接收伺服器的任何證書，但是這麼做有個問題，就是你無法驗證證書是否是你的伺服器後端的證書，給中間人攻擊，即通過重定向路由來分析偽造你的伺服器端打開了大門。

　　AFSecurityPolicy *securityPolicy = [AFSecurityPolicy defaultPolicy];

　　securityPolicy.allowInvalidCertificates = YES;

　　解決方法

　　AFNetworking是允許內嵌證書的，通過內嵌證書，AFNetworking就通過比對伺服器端證書、內嵌的證書、站點功能變數名稱是否一致來驗證連接的伺服器是否正確。由於CA證書驗證是通過站點功能變數名稱進行驗證的，如果你的伺服器後端有綁定的功能變數名稱，這是最方便的。將你的伺服器端證書，如果是pem格式的，用下麵的命令轉成cer格式

　　openssl x509 -in <你的伺服器證書>.pem -outform der -out server.cer

　　然後將生成的server.cer文件，如果有自建ca，再加上ca的cer格式證書，引入到app的bundle里，AFNetworking在

　　AFSecurityPolicy *securityPolicy = [AFSecurityPolicy AFSSLPinningModeCertificate];

　　或者

　　AFSecurityPolicy *securityPolicy = [AFSecurityPolicy AFSSLPinningModePublicKey];

　　情況下，會自動掃描bundle中。cer的文件，並引入，這樣就可以通過自簽證書來驗證伺服器唯一性了。

　　AFSecurityPolicy三種驗證模式

　　AFSSLPinningModeNone

　　這個模式表示不做SSL pinning，

　　只跟瀏覽器一樣在系統的信任機構列表裡驗證服務端返回的證書。若證書是信任機構簽發的就會通過，若是自己伺服器生成的證書就不會通過。

　　AFSSLPinningModeCertificate這個模式表示用證書綁定方式驗證證書，需要客戶端保存有服務端的證書拷貝，這裡驗證分兩步，第一步驗證證書的功能變數名稱有效期等信息，第二步是對比服務端返回的證書跟客戶端返回的是否一致。

　　AFSSLPinningModePublicKey

　　這個模式同樣是用證書綁定方式驗證，客戶端要有服務端的證書拷貝，

　　只是驗證時只驗證證書里的公鑰，不驗證證書的有效期等信息。只要公鑰是正確的，就能保證通信不會被竊聽，因為中間人沒有私鑰，無法解開通過公鑰加密的數據。

您的分享是我們最大的動力!

-Advertisement-

更多相關文章

Sample Apps by Android Team -- Amazed

Sample Apps by Android Team 代碼下載：http://pan.baidu.com/s/1eSNmdUE ，代碼原地址：https://code.google.com/archive/p/apps-for-android/ 註：代碼不是直接能夠運行的項目，需要自己新建項目， ...
Android 內容提供者的實現

接著上文《Android 內容提供者簡介》進一步實現內容提供者。每個Content Provider類都使用URI（Universal Resource Identifier，通用資源標識符）作為獨立的標識，格式如：content://com.example.app.provider/table1 ...
iOS 10 都有什麼改變?

iOS 10 都有什麼改變? 看這一個貼就夠了最全面的試用蘋果在 WWDC 2016 發佈會上正式發佈了 iOS 10 操作系統，iOS 與 macOS、tvOS 和 watchOS 構建了蘋果四大平臺，其中 iOS 平臺至關重要，成為連接 watchOS 和 macOS 的重要媒介。與 iOS ...
項目提交到github的忽略文件

1.在工作區的.gitignore文件中配置如下： # Built application files*.apk*.ap_ # Files for the Dalvik VM*.dex # Java class files*.class # Generated filesbin/gen/ # Gra ...
RunLoop

RunLoop 基礎知識作用保持程式持續運行處理app中的各種事件（如觸摸事件、定時器事件【NSTimer】、selector事件【選擇器·performSelector···】）節省CPU資源，提高程式性能說明沒有RunLoop,那麼程式一啟動就會退出有了Runoop，那麼相當於在內 ...
iOS GCD的一次性執行、定時器、迭代、隊列組

...
【IOS】模仿"抽屜新熱榜"動態啟動頁YFSplashScreen

IOS最好要設置系統預設啟動頁面，不然進入應用就會突然閃現黑色畫面下圖是我們要實現的效果: 總體思路:設置一個系統預設啟動頁面，在進入didFinishLaunchingWithOptions時，給Window添加自定義啟動頁，其初始畫面和系統啟動頁一樣。可在自定義啟動頁實現一些動畫，動畫結束 ...
window+git+AndroidStudio+github

1. 安裝配置git 安裝：需要從網上下載一個，然後進行預設安裝即可。安裝完成後，找到 “Git Bash”,點擊：配置：註意：name和email 只是用來標識身份，但是一定要配置好 2. Studio集成git git路徑： 3.通過git上傳github 輸入github用戶名和密碼，點擊 ...