Alamofire和AFNetworking中https相关知识点

首先，配置https服务器须要一个证书，这个证书能够从某些机构得到，也能够本身经过工具生成。

经过某些合法机构生成的证书客户端不须要进行验证

这样的请求不会触发Apple的相关代理方法 (URLSession:task:didReceiveChallenge:completionHandler:) 因此不管是AFNetWorking仍是Alamofire都不须要进行任何处理，便可正常使用。

非合法机构生成的证书或者自制证书

• AFNetWorking

  AFSecurityPolicy分三种验证模式：

  1. AFSSLPinningModeNone：表明客户端无条件地信任服务器端返回的证书。你没必要将证书跟你的 APP 一块儿打包。

  2. AFSSLPinningModeCertificate：表明客户端会将服务器端返回的证书和本地保存的证书中的【全部内容】，所有进行校验；若是正确，才继续进行。

  3. AFSSLPinningModePublicKey：表明客户端会将服务器端返回的证书与本地保存的证书中的【PublicKey部分】进行校验；若是正确，才继续进行。

  注: AFSSLPinningModeCertificate和AFSSLPinningModePublicKey的区别

  • AFSSLPinningModeCertificate 比较安全但也比较麻烦，它会比对你打包的证书跟服务器的证书是否一致。由于你的证书是跟 APP 一块儿打包的，这也就表明说若是你的证书过时了或是变更了，你就得出一版新的 APP 并且旧版 APP 的证书就失效了。你也能够在每次 APP 启动时，就自动连到某個服务器下载最新的证书，不过此时这个下载连线就会是有风险的。

  • AFSSLPinningModePublicKey 则是只比对证书里的 public key，因此即便服务器证书有所变更，只要 public key 不变，就能经过验证。

  • 因此若是你能确保每一个使用者老是使用最新版本的 APP（例如是公司企业内部专用的），那就能够考虑AFSSLPinningModeCertificate，否則的话选择 AFSSLPinningModePublicKey 是比较实际的做法。

  相关属性解释及代码例子

  • 属性解释

  AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];
  
  /*
   allowInvalidCertificates 是否容许无效证书（也就是自建的证书），默认为NO
   若是是须要验证自建证书，须要设置为YES
   */
  securityPolicy.allowInvalidCertificates = YES;
  
  /*
   validatesDomainName 是否须要验证域名，默认为YES。
   假如证书的域名与你请求的域名不一致，需把该项设置为NO
   主要用于这种状况：客户端请求的是子域名，而证书上的  是另一个域名。由于SSL证书上的域名是独立的，假如证书上注册的域名是www.google.com，那么mail.google.com是没法验证经过的；固然，有钱能够注册通配符的域名*.google.com，但这个仍是比较贵的。
   */
  securityPolicy.validatesDomainName = NO;
  
  /*
   validatesCertificateChain 是否验证整个证书链，默认为YES
   设置为YES，会将服务器返回的Trust Object上的证书链与本地导入的证书进行对比，这就意味着，假如你的证书链是这样的：
   GeoTrust Global CA 
   Google Internet Authority G2
   *.google.com
   那么，除了导入*.google.com以外，还须要导入证书链上全部的CA证书（GeoTrust Global CA, Google Internet Authority G2）；
   如是自建证书的时候，能够设置为YES，加强安全性；假如是信任的CA所签发的证书，则建议关闭该验证；
   */
  securityPolicy.validatesCertificateChain = NO;
  复制代码

  • 完整代码

  AFHTTPSessionManager *manager = [AFHTTPSessionManager manager];
  
  /*
  建立AFSecurityPolicy有两种方式。
  第一种方式是让AFN在Bundle里面自动寻找并尝试匹配。
  第二种方式是直接指定证书的位置
   */
  AFSecurityPolicy *securityPolicy = [[AFSecurityPolicy alloc] init]; 
  [securityPolicy setAllowInvalidCertificates:NO]; 
  [securityPolicy setSSLPinningMode:AFSSLPinningModeCertificate]; 
  [securityPolicy setValidatesDomainName:YES];
  [securityPolicy setValidatesCertificateChain:NO]; 
  
  NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"name" ofType:@"cer"];
  NSData *certData  = [NSData dataWithContentsOfFile:cerPath];
  AFSecurityPolicy *securityPolicy = [[AFSecurityPolicy alloc] init];
  [securityPolicy setAllowInvalidCertificates:NO];
  [securityPolicy setPinnedCertificates:@[certData]];
  [securityPolicy setSSLPinningMode:AFSSLPinningModeCertificate];
  [securityPolicy setValidatesDomainName:YES];
  [securityPolicy setValidatesCertificateChain:NO];
  
  manager.securityPolicy = securityPolicy;
  
  复制代码

• Alamofire

  ServerTrustPolicy分六种验证方式

  1.performDefaultEvaluation

  默认的策略，只有合法证书才能经过验证

  2.performRevokedEvaluation

  对注销证书作的一种额外设置，不是很明白这里，有兴趣的朋友能够最近查一下。

  3.pinCertificates

  表明客户端会将服务器端返回的证书和本地保存的证书中的【全部内容】，所有进行校验；若是正确，才继续进行。

  4.pinPublicKeys

  表明客户端会将服务器端返回的证书与本地保存的证书中的【PublicKey部分】进行校验；若是正确，才继续进行。

  5.disableEvaluation

  该选项下，验证一直都是经过的，也就是说无条件信任

  6.customEvaluation

  自定义验证，须要返回一个布尔类型的结果

  注: pinPublicKeys和pinCertificates的区别能够参考上面AFN的介绍。

  相关参数的介绍

  • certificates 证书文件。ServerTrustPolicy.certificates()方法会在bundle中自动搜索证书相关文件的后缀文件。
  • validateCertificateChain 是否验证证书链
  • validateHost 是否验证域名地址。

  完整代码

  这里最好是封装一个SessionManger的单例进行统一处理。Swift的https验证策略，支持一次对多个域名进行设置。

  let serverTrustPolicies: [String: ServerTrustPolicy] = [
          "test.example.com": .pinCertificates(
              certificates: ServerTrustPolicy.certificates(),
              validateCertificateChain: true,
              validateHost: true
          ),
          "insecure.expired-apis.com": .disableEvaluation
      ]
  let manger = SessionManager(serverTrustPolicyManager: ServerTrustPolicyManager(policies: serverTrustPolicies))
  复制代码

  这里的设置是，针对test.example.com域名进行pinCertificates类型的验证，并验证证书链和域名地址。 针对insecure.expired-apis.com域名进行disableEvaluation类型的验证。