iOS網絡請求安全認證（JWT，RSA）

在網絡世界中，安全是一個很重要的問題，以往的HTTP請求已經不能承擔這個安全任務，抓包工具一抓，你的全部網絡請求全都曝光。固然，你可能會採用加密算法來加密數據，可是這仍然不夠。

在移動端和服務器的通訊過程當中，有兩種認證方式：token和session。

Session: 每一個用戶通過咱們的應用認證以後，咱們的應用都要在服務端作一次記錄，以方便用戶下次請求的鑑別，一般而言session都是保存在數據庫和內存中，而隨着認證用戶的增多，服務端的開銷會明顯增大。

擴展性: 用戶認證以後，服務端作認證記錄，若是認證的記錄被保存在內存中的話，這意味着用戶下次請求還必需要請求在這臺服務器上,這樣才能拿到受權的資源，這樣在分佈式的應用上，相應的限制了負載均衡器的能力。這也意味着限制了應用的擴展能力。

__CSRF: __由於是基於cookie來進行用戶識別的, cookie若是被截獲，用戶就會很容易受到跨站請求僞造的攻擊。CSRF攻擊是源於WEB的隱式身份驗證機制！WEB的身份驗證機制雖然能夠保證一個請求是來自於某個用戶的瀏覽器，但卻沒法保證該請求是用戶批准發送的！

基於token的鑑權機制
基於token的鑑權機制相似於http協議也是無狀態的，它不須要在服務端去保留用戶的認證信息或者會話信息。這就意味着基於token認證機制的應用不須要去考慮用戶在哪一臺服務器登陸了，這就爲應用的擴展提供了便利。

流程上是這樣的：

• 用戶使用用戶名密碼來請求服務器
• 服務器進行驗證用戶的信息
• 服務器經過驗證發送給用戶一個token
• 客戶端存儲token，並在每次請求時附送上這個token值
• 服務端驗證token值，並返回數據

這個token必需要在每次請求時傳遞給服務端，它應該保存在請求頭裏， 另外，服務端要支持CORS(跨來源資源共享)策略，通常咱們在服務端這麼作就能夠了Access-Control-Allow-Origin: *。

那麼咱們如今回到JWT的主題上。

JWT是啥？

Json web token (JWT), 是爲了在網絡應用環境間傳遞聲明而執行的一種基於JSON的開放標準（(RFC 7519).該token被設計爲緊湊且安全的，特別適用於分佈式站點的單點登陸（SSO）場景。JWT的聲明通常被用來在身份提供者和服務提供者間傳遞被認證的用戶身份信息，以便於從資源服務器獲取資源，也能夠增長一些額外的其它業務邏輯所必須的聲明信息，該token也可直接被用於認證，也可被加密。

JWT長什麼樣？

JWT是由三段信息構成的，將這三段信息文本用.連接一塊兒就構成了Jwt字符串。就像這樣:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHQiOjE0ODg1NTM3OTk5NzIsImlwIjoiMTkyLjE2OC4xMDIuMTk1IiwidGVsIjoiMTMxMjM0NTY3ODkiLCJ0eXBlIjoiMiIsImRldmljZSI6ImVjMGEwOWZhOWRiOTNjNDQ1Mzk1YzcyNmI2OTUyM2YzIiwiaWF0IjoxNDg4NTI0OTk5OTcyfQ.9rl2XwKIMnVCVVKv9GvhTify7P2xhxIITfaSX4tm_78

 

JWT的構成

第一部分咱們稱它爲頭部（header),第二部分咱們稱其爲載荷（payload, 相似於飛機上承載的物品)，第三部分是簽證（signature).

Header

JWT的頭部承載兩部分信息：

聲明類型，這裏是JWT
聲明加密的算法 一般直接使用 HMAC SHA256
完整的頭部就像下面這樣的JSON：

{
  'typ': 'JWT',
  'alg': 'HS256'
}

 

而後將頭部進行base64加密（該加密是能夠對稱解密的),構成了第一部分.

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.

Playload

Token的第二部分是負載，它包含了claim， Claim是一些實體（一般指的用戶）的狀態和額外的元數據，有三種類型的claim： reserved , public 和 private .

• Reserved claims: 這些claim是JWT預先定義的，在JWT中並不會強制使用它們，而是推薦使用，經常使用的有 iss（簽發者） , exp（過時時間戳） , sub（面向的用戶） , aud（接收方） , iat（簽發時間） 。

• Public claims：根據須要定義本身的字段，注意應該避免衝突

• Private claims：這些是自定義的字段，能夠用來在雙方之間交換信息

負載使用的例子：

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

上述的負載須要通過 Base64Url編碼後做爲JWT結構的第二部分。

Signature

建立簽名須要使用編碼後的header和payload以及一個祕鑰，使用header中指定簽名算法進行簽名。例如若是但願使用HMAC SHA256算法，那麼簽名應該使用下列方式建立：

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)  

簽名用於驗證消息的發送者以及消息是沒有通過篡改的。

完整的JWT

JWT格式的輸出是以 . 分隔的三段Base64編碼，與SAML等基於XML的標準相比，JWT在HTTP和HTML環境中更容易傳遞。

下列的JWT展現了一個完整的JWT格式，它拼接了以前的Header， Payload以及祕鑰簽名：

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.
eyJleHQiOjE0ODg1NTM3OTk5NzIsImlwIjoiMTkyLjE2OC4xMDIuMTk1IiwidGVsIjoiMTMxMjM0NTY3ODkiLCJ0eXBlIjoiMiIsImRldmljZSI6ImVjMGEwOWZhOWRiOTNjNDQ1Mzk1YzcyNmI2OTUyM2YzIiwiaWF0IjoxNDg4NTI0OTk5OTcyfQ.
9rl2XwKIMnVCVVKv9GvhTify7P2xhxIITfaSX4tm_78

如何應用

[AFHTTPSessionManager manager].requestSerializer setValue:JWTToken forHTTPHeaderField:@"token"];
在此次demo中我用的是AFN3.0，Xcoede8。

    AFHTTPSessionManager *manager = [AFHTTPSessionManager manager];
    manager.responseSerializer = [AFHTTPResponseSerializer serializer];//服務器返回的是字符串
    NSMutableDictionary *para = [[NSMutableDictionary alloc] init];
    [para setValue:userPhoneNumber forKey:@"ac_id"];//用戶手機號
    [para setValue:dToken forKey:@"token"];//UUID    
    
    NSURLSessionDataTask *task =  [self httpRequestWithMethod:@"POST" pathUrl:USER_GET_NEW_SESSION_ID_URL parameters:para success:^(NSURLSessionDataTask * _Nonnull task, id  _Nullable responseObject) {
        
    NSString *resonseString = [[NSString alloc] initWithData:responseObject encoding:NSUTF8StringEncoding];//服務器給咱們的是一個二進制流字符串，先將其轉化成NSString
        
    NSString *decodeStr = [RSACode decryptString:resonseString publicKey:PUBLICKEY];//服務器給個人數據通過了RSA加密，這裏用公鑰進行解密
    NSDictionary *dicObject = [RSACode dictionaryWithJsonString:decodeStr];//解密後獲得的是一個字符串，將其轉換成字典
    NSMutableArray *resultJson = [dicObject objectForKey:@"result"];

    [[NSUserDefaults standardUserDefaults] setValue:[[resultJson firstObject]objectForKey:@"jwtToken"] forKey:RME_DEVICE_JWT];//經過NSUserDefaults將token進行永久化存儲
    [self.requestSerializer setValue:[[resultJson firstObject]objectForKey:@"jwtToken"] forHTTPHeaderField:@"token"];//將token放到請求頭      
  
    } failure:^(NSURLSessionDataTask * _Nullable task, NSError * _Nonnull error) {

    }];

上面講完了JWT，接下來就是RSA加密。

RSA算法是目前最流行的公鑰密碼算法，它使用長度能夠變化的密鑰。RSA是第一個既能用於數據加密也能用於數字簽名的算法。 RSA算法的原理以下： 1.隨機選擇兩個大質數p和q，p不等於q，計算N=pq； 2.選擇一個大於1小於N的天然數e，e必須與(p-1)×(q-1)互素。 3.用公式計算出d：d×e = 1 (mod (p-1)×(q-1)) 。 4.銷燬p和q。 最終獲得的N和e就是「公鑰」，d就是「私鑰」，發送方使用N去加密數據，接收方只有使用d才能解開數據內容。
RSA的安全性依賴於大數分解，小於1024位的N已經被證實是不安全的，並且因爲RSA算法進行的都是大數計算，使得RSA最快的狀況也比DES慢上好幾倍，這也是RSA最大的缺陷，所以它一般只能用於加密少許數據或者加密密鑰。須要注意的是，RSA算法的安全性只是一種計算安全性，毫不是無條件的安全性，這是由它的理論基礎決定的。所以，在實現RSA算法的過程當中，每一步都應儘可能從安全性方面考慮。

首先經過Mac終端生成公鑰和私鑰。

 

RSA公鑰私鑰.png

紅線部分是須要輸入的指令，生成的文件在當前目錄下。

openssl
genrsa -out rsa_private_key.pem 1024
pkcs8 -topk8 -inform PEM -in rsa_private_key.pem -outform PEM -nocrypt
rsa -in rsa_private_key.pem -pubout -out rsa_public_key.pem

生成了公鑰和私鑰以後，咱們APP端只要持有公鑰便可，私鑰放於服務端。這樣在和服務器進行通訊的時候，敏感信息服務器能夠用私鑰將其加密，即便他人拿到數據也沒有用。而咱們傳給服務器的數據，也能夠經過公鑰去加密，因爲公鑰加密的數據只有對應的私鑰才能解開，而私鑰只有服務器才持有，這樣就保證了只有服務器才能解開加密。這樣就會使咱們和服務器的通訊更加安全可靠。

---

	Session	Token
狀態存儲位置	服務器存儲全部的Session狀態信息	每一個客戶端存儲本身的token狀態
擴展性	即便是分佈式的佈局方式，也須要到存儲當前Session的服務器獲取數據	任意一臺服務器都可解析Token
分享	沒法分享和受權給其餘應用	能夠很方便的分享和受權給其餘應用，並且很安全，沒法僞造
依賴性	一般須要藉助Cookie來實現	沒有依賴，加密方式安全就安全

連接：http://www.jianshu.com/p/08b85f749c86