iOS SSL Pinning 保护你的 API

随着互联网的发展，网站全面 https 化已经愈来愈被重视，作为 App 开发人员，从一开始就让 API 都走 SSL 也是十分必要的。可是光这样就足够了吗？

SSL 能够保护线上 API 数据不被篡改，可是防不了别有用心的发现大家 API，而后写脚本作一些事情。

 

Charles 的 SSL 代理

具体如何查看 SSL 的请求呢？可使用 Charles 的 SSL 代理功能。

准备工做

下载安装最新版的 Charles（https://www.charlesproxy.com/），点开 Help -> SSL Proxying -> Install Charles Root Certificate on a Mobile Device （以下图）

 

而后会弹出一个提示框：

 

打开你的 iPhone 测试机，设置网络代理到上述地址（你电脑的 IP）：

 

而后在 Safari 中（只能是 Safari）访问 http://charlesproxy.com/getssl，系统会打开描述文件安装界面，点击右上角的安装（须要输入密码）。

 

 

安装成功后，在 设置 -> 通用 -> 描述文件与设备管理 下会多出一行：

 

开启代理

iPhone 安装好描述文件后，加到 Charles。点击 Proxy 菜单下的 SSL Proxying Settings：

 

在弹出的窗口中添加你感兴趣的 HOST，点 OK 保存，而后就能够在 Charles 中看到 HTTPS 的请求数据了。

 

本文以常见的微博为例，能够看到微博启动后发了以下请求，而且能够看到明文数据：

 

 

SSL Pinning

上述方法的原理其实不复杂，Charles 在 iPhone 测试机上安装了它本身的一个 CA，因而手机会信任由它签发的证书。Charles 充当了一个中间人，详见https://www.charlesproxy.com/documentation/proxying/ssl-proxying/。如何绕开这种状况呢？固然只能让手机只信任特定证书加密的包，因而就有了 SSL Pinning。

实现方式

首先问下后台的运维人员要到后台服务的 SSL PEM 格式的公钥，如 cert.pem，通常是一个纯文本文件，如：

-----BEGIN CERTIFICATE-----
MIIG4jCCBcqgAwIBAgIQDsAf+l9f2W2Jkl9C21bgSjANBgkqhkiG9w0BAQsFADBE
MQswCQYDVQQGEwJVUzEWMBQGA1UEChMNR2VvVHJ1c3QgSW5jLjEdMBsGA1UEAxMU
....
-----END CERTIFICATE-----

而后在命令行中使用 OpenSSL 工具链转换格式为 DER （ iOS 只能支持这个格式，注意！）：

openssl x509 -outform der -in cert.pem -out cert.der

将文件添加到 Xcode 工程中去。若是使用 AFNetworking，那么实现将比较简单，下面以 AFNetworking 为例：

AFHTTPSessionManager *manager = [[AFHTTPSessionManager alloc] initWithBaseURL:@"https://api.foo.com"];

NSString *cert = [[NSBundle mainBundle] pathForResource:@"cert" ofType:@"der"];
NSData *data = [[NSFileManager defaultManager] contentsAtPath:cert];
AFSecurityPolicy *policy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate
                                            withPinnedCertificates:[NSSet setWithObjects:data, nil]];
manager.securityPolicy = policy;

...

从代码中能够看到，能够一次指定多个证书。

这样一来，App 只接受由指定证书加密的数据，其余数据会拒绝，以下图：

同时 App 端的表现是请求已取消。

网易云SSL证书服务提供云上证书一站式生命周期管理，与全球顶级的数字证书受权机构（CA，Certificate Authority）和代理商合做，为你的网站与移动应用实现 HTTPS 加密部署。

 

本文来自网易云社区，经做者谭歆受权发布。

原文地址：iOS SSL Pinning 保护你的 API

更多网易研发、产品、运营经验分享请访问网易云社区。