iOS 開發筆記-AFNetWorking https SSL認證

通常來說若是app用了web service , 咱們須要防止數據嗅探來保證數據安全.一般的作法是用ssl來鏈接以防止數據抓包和嗅探

其實這麼作的話仍是不夠的 。 咱們還須要防止中間人攻擊（不明白的本身去百度）。攻擊者經過僞造的ssl證書使app鏈接到了假裝的假冒的服務器上，這是個嚴重的問題！那麼如何防止中間人攻擊呢？

首先web服務器必須提供一個ssl證書，須要一個 .crt 文件，而後設置app只能鏈接有效ssl證書的服務器。

在開始寫代碼前，先要把 .crt 文件轉成 .cer 文件，而後在加到xcode 裏面

 .crt 文件轉成 .cer 文件

1.使用openssl 進行轉換

openssl x509 -in 你的證書.crt -out 你的證書.cer -outform der

2.經過安裝crt文件，電腦導出

1）先打開「鑰匙串訪問」

2）選中你安裝的crt文件證書，選擇「文件」--》「導出項目」

 

3）選擇.cer證書，存儲便可。

AFNetworking 對數據進行https ssl加密

實際上，很簡單，只須要兩步。

第一步：新增一個類

+ (AFSecurityPolicy*)customSecurityPolicy
{
    // /先導入證書
    NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"hgcang" ofType:@"cer"];//證書的路徑
    NSData *certData = [NSData dataWithContentsOfFile:cerPath];
    
    // AFSSLPinningModeCertificate 使用證書驗證模式
    AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];
    
    // allowInvalidCertificates 是否容許無效證書（也就是自建的證書），默認爲NO
    // 若是是須要驗證自建證書，須要設置爲YES
    securityPolicy.allowInvalidCertificates = YES;
    
    //validatesDomainName 是否須要驗證域名，默認爲YES；
    //假如證書的域名與你請求的域名不一致，需把該項設置爲NO；如設成NO的話，即服務器使用其餘可信任機構頒發的證書，也能夠創建鏈接，這個很是危險，建議打開。
    //置爲NO，主要用於這種狀況：客戶端請求的是子域名，而證書上的是另一個域名。由於SSL證書上的域名是獨立的，假如證書上註冊的域名是www.google.com，那麼mail.google.com是沒法驗證經過的；固然，有錢能夠註冊通配符的域名*.google.com，但這個仍是比較貴的。
    //如置爲NO，建議本身添加對應域名的校驗邏輯。
    securityPolicy.validatesDomainName = NO;
    
    securityPolicy.pinnedCertificates = @[certData];
    
    return securityPolicy;
}

第二步：直接在請求方法里加入，只有一行代碼

+ (void)post:(NSString *)url params:(NSDictionary *)params success:(void (^)(id))success failure:(void (^)(NSError *))failure
{
    // 1.得到請求管理者
    AFHTTPRequestOperationManager *mgr = [AFHTTPRequestOperationManager manager];
    // 2.申明返回的結果是text/html類型
    mgr.responseSerializer = [AFHTTPResponseSerializer serializer];
    
    // 加上這行代碼，https ssl 驗證。
    //[mgr setSecurityPolicy:[self customSecurityPolicy]];
    
    // 3.發送POST請求
    [mgr POST:url parameters:params
      success:^(AFHTTPRequestOperation *operation, id responseObj) {
          if (success) {
              success(responseObj);
          }
      } failure:^(AFHTTPRequestOperation *operation, NSError *error) {
          if (failure) {
              failure(error);
          }
      }];
}

接下來，咱們經過Charles抓取數據，抓到的數據已經加密。

可能遇到的問題

1）證書必定要拉到項目裏面，AFN加了驗證以後，看看獲取證書的certData是否爲空。若是爲空，則證書有問題

NSData *certData = [NSData dataWithContentsOfFile:cerPath];

2）若是https服務器沒有數據返回，很大多是由於服務器配置出了問題。

3）錯誤說「Error Domain=kCFErrorDomainCFNetwork Code=-1004」 ,是沒有配支持http的請求，解決以下

1. 在Info.plist中添加NSAppTransportSecurity類型Dictionary。
2. 在NSAppTransportSecurity下添加NSAllowsArbitraryLoads類型Boolean,值設爲YES

 

附Demo： http://download.csdn.net/detail/jys1216/9412638

注：因爲cer證書是真實的項目在用，不便提供，因些Demo裏的cer證書和請求連接都是有誤的。請替換使用。

demo裏的cer文件，我是在AFN裏找的，certData是有數據的。

 

參考文章

iOS安全系列之一：HTTPS  ：http://oncenote.com/2014/10/21/Security-1-HTTPS/