AFNetworking 框架小结 六 (AFSecurityPolicy)

2024-06-06 13:08
文章标签 框架 小结 afnetworking afsecuritypolicy

本文主要是介绍AFNetworking 框架小结 六 (AFSecurityPolicy),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

AFSecurityPolicy

在 AFNetworking 框架中,可以使用 AFSecurityPolicy 类来设置 SSL 安全连接时的校验策略。在客户端应用中添加遵循 X.509 标准的数字证书,
并在与服务器建立安全连接时校验服务器传递的安全信息,这种方式可以有效避免中间人攻击等风险。

AFSecurityPolicy 的校验选项 AFSSLPinningMode 有三种:

  • AFSSLPinningModeNone 在与服务器建立安全连接时,并不会使用应用中已有的证书(也可能本就没有)对服务器传递的信息进行校验,此为默认选项
  • AFSSLPinningModePublicKey 使用应用中已有的公钥对服务器传递的信息进行校验
  • AFSSLPinningModeCertificate 使用应用中已有的数字证书对服务器传递的信息进行校验

属性

属性名称属性类型属性含义
SSLPinningModeAFSSLPinningMode校验策略
pinnedCertificatesNSSet <NSData *>本地证书
pinnedPublicKeysNSSet本地证书所包含的公钥
allowInvalidCertificatesBOOL是否信任证书是无效或过期的服务器,默认值为 NO
validatesDomainNameBOOL是否校验证书中 CN 字段中的域名,默认值为 YES

方法

  1. 创建默认的安全策略

    + (instancetype)defaultPolicy;

    在这个方法中,将 SSLPinningMode 的值设置为 AFSSLPinningModeNone 。

  2. 创建指定校验模式的安全策略

    + (instancetype)policyWithPinningMode:(AFSSLPinningMode)pinningMode {return [self policyWithPinningMode:pinningMode withPinnedCertificates:[self defaultPinnedCertificates]];
}

    这个类的方法,实际是调用了下面的方法返回一个策略,只是其所提供参数,表示的是默认当前类名包下的所有证书,
    如果没有名为 AFSecurityPolicy 的包,那么则没有本地证书以供校验时使用。

  3. 创建指定校验模式和证书的安全策略

    + (instancetype)policyWithPinningMode:(AFSSLPinningMode)pinningMode withPinnedCertificates:(NSSet *)pinnedCertificates;

    这个方法,完全由调用者自己提供校验选项和证书数据。

  4. 获取指定包中的证书数据

    + (NSSet <NSData *> *)certificatesInBundle:(NSBundle *)bundle;
    该方法可以很方便的获取指定包 bundle 中的证书数据,结合上一个方法,则创建安全策略实例对象十分方便。

  5. 校验服务器传递的安全信息

    - (BOOL)evaluateServerTrust:(SecTrustRef)serverTrust forDomain:(nullable NSString *)domain;
    这个方法会根据当前策略来判断接收的服务器的安全信息是否有效,域名参数 domain 如果未传递,则不对其进行校验。如果要校验自签名证书的域名,那么本地应包含该证书并且校验策略不能是 AFSSLPinningModeNone 选项。

    NSMutableArray *policies = [NSMutableArray array];
if (self.validatesDomainName) {[policies addObject:(__bridge_transfer id)SecPolicyCreateSSL(true, (__bridge CFStringRef)domain)];
} else {[policies addObject:(__bridge_transfer id)SecPolicyCreateBasicX509()];
}SecTrustSetPolicies(serverTrust, (__bridge CFArrayRef)policies);

    从上面的源代码可知,如果不对域名进行校验,便会创建 X.509 标准的默认校验策略,而后,将策略与服务器传递的安全信息 serverTrust 相关联。

    接着执行下面的代码:

    if (self.SSLPinningMode == AFSSLPinningModeNone) {return self.allowInvalidCertificates || AFServerTrustIsValid(serverTrust);
} else if (!AFServerTrustIsValid(serverTrust) && !self.allowInvalidCertificates) {return NO;
}

    这里有点绕,如果策略选项为 AFSSLPinningModeNone ,那么分了两种情况,一种是,若 allowInvalidCertificates 属性值为 YES ,
    即客户端信任无效或过期的证书(可能是自签名证书),那么,客户端则认为服务器是可信的。
    另一种,则是调用 AFServerTrustIsValid 函数校验服务器传递的安全信息 serverTrust 是否是有效的。

    如果策略选项不是 AFSSLPinningModeNone 并且 AFServerTrustIsValid 校验未通过,而客户端也不信任无效或过期的证书,那么则认为所连接的服务器不可信。

    再接着往下校验,则是对 AFSSLPinningModeCertificate 和 AFSSLPinningModePublicKey 选项的分别处理,前者比较的是安全信息中的证书和本地的证书是否相同,
    而后者则是对证书中的公钥进行比较。

    在 AFSSLPinningModeCertificate 选项下,先调用 SecCertificateCreateWithData 函数将 pinnedCertificates 属性中的所有的本地证书数据转化为证书变量,
    而后使用 SecTrustSetAnchorCertificates 函数将这些变量设置为校验服务器安全信息 serverTrust 的锚证书。

    当确定 serverTrust 信息本身是有效的后,再调用 AFCertificateTrustChainForServerTrust 函数获取其所包含的所有证书 serverCertificates ,这个证书数组,第一个为子证书,最后一个可能是根证书(当然也可能不是),这样,再判断本地的所有证书 pinnedCertificates 中是否包含了 serverCertificates 中的一个证书。判断过程是从数组最后一个元素开始的,即从父证书开始判断。只要包含一个证书,那么就认为所连接的服务器是可以信任的。

    在 AFSSLPinningModePublicKey 选项下,先调用 AFPublicKeyTrustChainForServerTrust 函数获取 serverTrust 中所含证书的所有公钥,而后,遍历这些公钥,如果有一个公钥在 pinnedPublicKeys 属性中的所有公钥中,那么就认为服务器是可信的。

    具体的源代码如下:

    - (BOOL)evaluateServerTrust:(SecTrustRef)serverTrustforDomain:(NSString *)domain
{if (domain && self.allowInvalidCertificates && self.validatesDomainName && (self.SSLPinningMode == AFSSLPinningModeNone || [self.pinnedCertificates count] == 0)) {// https://developer.apple.com/library/mac/documentation/NetworkingInternet/Conceptual/NetworkingTopics/Articles/OverridingSSLChainValidationCorrectly.html//  According to the docs, you should only trust your provided certs for evaluation.//  Pinned certificates are added to the trust. Without pinned certificates,//  there is nothing to evaluate against.////  From Apple Docs://          "Do not implicitly trust self-signed certificates as anchors (kSecTrustOptionImplicitAnchors).//           Instead, add your own (self-signed) CA certificate to the list of trusted anchors."NSLog(@"In order to validate a domain name for self signed certificates, you MUST use pinning.");return NO;}NSMutableArray *policies = [NSMutableArray array];if (self.validatesDomainName) {[policies addObject:(__bridge_transfer id)SecPolicyCreateSSL(true, (__bridge CFStringRef)domain)];} else {[policies addObject:(__bridge_transfer id)SecPolicyCreateBasicX509()];}SecTrustSetPolicies(serverTrust, (__bridge CFArrayRef)policies);if (self.SSLPinningMode == AFSSLPinningModeNone) {return self.allowInvalidCertificates || AFServerTrustIsValid(serverTrust);} else if (!AFServerTrustIsValid(serverTrust) && !self.allowInvalidCertificates) {return NO;}switch (self.SSLPinningMode) {case AFSSLPinningModeNone:default:return NO;case AFSSLPinningModeCertificate: {NSMutableArray *pinnedCertificates = [NSMutableArray array];for (NSData *certificateData in self.pinnedCertificates) {[pinnedCertificates addObject:(__bridge_transfer id)SecCertificateCreateWithData(NULL, (__bridge CFDataRef)certificateData)];}SecTrustSetAnchorCertificates(serverTrust, (__bridge CFArrayRef)pinnedCertificates);if (!AFServerTrustIsValid(serverTrust)) {return NO;}// obtain the chain after being validated, which *should* contain the pinned certificate in the last position (if it's the Root CA)NSArray *serverCertificates = AFCertificateTrustChainForServerTrust(serverTrust);for (NSData *trustChainCertificate in [serverCertificates reverseObjectEnumerator]) {if ([self.pinnedCertificates containsObject:trustChainCertificate]) {return YES;}}return NO;}case AFSSLPinningModePublicKey: {NSUInteger trustedPublicKeyCount = 0;NSArray *publicKeys = AFPublicKeyTrustChainForServerTrust(serverTrust);for (id trustChainPublicKey in publicKeys) {for (id pinnedPublicKey in self.pinnedPublicKeys) {if (AFSecKeyIsEqualToKey((__bridge SecKeyRef)trustChainPublicKey, (__bridge SecKeyRef)pinnedPublicKey)) {trustedPublicKeyCount += 1;}}}return trustedPublicKeyCount > 0;}}return NO;
}

Security 框架

在对服务器传递的安全信息进行校验时,要获取安全信息中证书的证书或者公钥,主要使用的就是 Security 框架中的变量及其相关接口,
涉及到的变量类型有 SecTrustRef 、SecCertificateRef 、SecPolicyRef 、SecTrustResultType 等。

SecCertificateRef

这个变量用来描述遵循 X.509 标准格式的证书数据,使用下面的方法可以将 DER 编码的数据转换为该变量,当然反过来也能获取证书数据。

__nullable SecCertificateRef SecCertificateCreateWithData(CFAllocatorRef __nullable allocator, CFDataRef data) __OSX_AVAILABLE_STARTING(__MAC_10_6, __IPHONE_2_0);CFDataRef SecCertificateCopyData(SecCertificateRef certificate) __OSX_AVAILABLE_STARTING(__MAC_10_6, __IPHONE_2_0);
SecPolicyRef

安全信息校验策略,在对 SecTrustRef 变量信息进行校验时会用到这个策略。

通常,我们调用下面的方法创建一个默认的策略,该策略针对于 X.509 标准。

SecPolicyRef SecPolicyCreateBasicX509(void) __OSX_AVAILABLE_STARTING(__MAC_10_6, __IPHONE_2_0);

当然,也可以使用下面的方法,表明是对 SSL 连接中证书的校验,并且可以指定主机名,表示子证书中的主机名要与其一致。

SecPolicyRef SecPolicyCreateSSL(Boolean server, CFStringRef __nullable hostname) __OSX_AVAILABLE_STARTING(__MAC_10_6, __IPHONE_2_0);

该接口中还预定义了一些字符串常量,可以用来获取或设置策略中的一些属性。

SecTrustRef

这个信息是安全信息的描述,该信息可以由证书信息和策略信息创建,如下:

OSStatus SecTrustCreateWithCertificates(CFTypeRef certificates,CFTypeRef __nullable policies, SecTrustRef * __nonnull CF_RETURNS_RETAINED trust)__OSX_AVAILABLE_STARTING(__MAC_10_3, __IPHONE_2_0);

这个方法便是提供了一个证书 SecCertificateRef 变量和策略 SecPolicyRef 变量,由 trust 指针接收创建的 SecTrustRef 变量。

拥有一个 SecTrustRef 变量,最自然的操作就是验证它是否有效,如连接服务器时,接收到服务器的校验请求,所以,下面的方法最为常用。

OSStatus SecTrustEvaluate(SecTrustRef trust, SecTrustResultType * __nullable result)__OSX_AVAILABLE_STARTING(__MAC_10_3, __IPHONE_2_0);

但是这个校验操作是同步的,所以要注意其应该在子线程中调用,否则可能会阻塞主线程。不过,接口里也提供了异步校验操作函数,并且可以指定校验结束后的回调操作。

OSStatus SecTrustEvaluateAsync(SecTrustRef trust,dispatch_queue_t __nullable queue, SecTrustCallback result)__OSX_AVAILABLE_STARTING(__MAC_10_7, __IPHONE_7_0);

回调 SecTrustCallback 的类型定义如下:

typedef void (^SecTrustCallback)(SecTrustRef trustRef, SecTrustResultType trustResult);

校验后,会由 SecTrustResultType 类型的变量描述校验的结果,它可能的结果如下:

  • kSecTrustResultInvalid 通常表示校验尚未开始
  • kSecTrustResultProceed 表示可以执行,即校验通过
  • kSecTrustResultConfirm 表示后续执行需要用户确认,该字段在 OS X 10.9 和 iOS 7 之后就废弃了
  • kSecTrustResultDeny 表示用户拒绝信任相关安全信息
  • kSecTrustResultUnspecified 表示默认信任,但用户并没有明确表示信任
  • kSecTrustResultRecoverableTrustFailure 表示校验失败,但是用户可以强制校验通过
  • kSecTrustResultFatalTrustFailure 表示校验失败,且用户不能强制修改校验结果进行信任
  • kSecTrustResultOtherError 表示并不是校验信息时所产生的错误

在 AFNetworking 框架的安全策略中,获取的服务器安全信息校验状态为 kSecTrustResultUnspecified 或 kSecTrustResultProceed 则认为其可信。

除了校验信息是否可信外,还可以调用函数 SecTrustCopyPublicKey 获取公钥信息,调用 SecTrustGetCertificateCount 函数获取证书数量,调用 SecTrustGetCertificateAtIndex 获取具体证书信息等等。

这篇关于AFNetworking 框架小结 六 (AFSecurityPolicy)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/1036197

相关文章

判断PyTorch是GPU版还是CPU版的方法小结

判断PyTorch是GPU版还是CPU版的方法小结

《判断PyTorch是GPU版还是CPU版的方法小结》PyTorch作为当前最流行的深度学习框架之一,支持在CPU和GPU(NVIDIACUDA)上运行,所以对于深度学习开发者来说,正确识别PyTor... 目录前言为什么需要区分GPU和CPU版本?性能差异硬件要求如何检查PyTorch版本?方法1:使用命
阅读更多...
Redis 热 key 和大 key 问题小结

Redis 热 key 和大 key 问题小结

《Redis热key和大key问题小结》:本文主要介绍Redis热key和大key问题小结,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧... 目录一、什么是 Redis 热 key?热 key(Hot Key)定义: 热 key 常见表现:热 key 的风险:二、
阅读更多...
Spring Boot读取配置文件的五种方式小结

Spring Boot读取配置文件的五种方式小结

《SpringBoot读取配置文件的五种方式小结》SpringBoot提供了灵活多样的方式来读取配置文件,这篇文章为大家介绍了5种常见的读取方式,文中的示例代码简洁易懂,大家可以根据自己的需要进... 目录1. 配置文件位置与加载顺序2. 读取配置文件的方式汇总方式一:使用 @Value 注解读取配置方式二
阅读更多...
Python中的getopt模块用法小结

Python中的getopt模块用法小结

《Python中的getopt模块用法小结》getopt.getopt()函数是Python中用于解析命令行参数的标准库函数,该函数可以从命令行中提取选项和参数,并对它们进行处理,本文详细介绍了Pyt... 目录getopt模块介绍getopt.getopt函数的介绍getopt模块的常用用法getopt模
阅读更多...
C 语言中enum枚举的定义和使用小结

C 语言中enum枚举的定义和使用小结

《C语言中enum枚举的定义和使用小结》在C语言里,enum(枚举)是一种用户自定义的数据类型,它能够让你创建一组具名的整数常量,下面我会从定义、使用、特性等方面详细介绍enum,感兴趣的朋友一起看... 目录1、引言2、基本定义3、定义枚举变量4、自定义枚举常量的值5、枚举与switch语句结合使用6、枚
阅读更多...
Java中的Lambda表达式及其应用小结

Java中的Lambda表达式及其应用小结

《Java中的Lambda表达式及其应用小结》Java中的Lambda表达式是一项极具创新性的特性,它使得Java代码更加简洁和高效,尤其是在集合操作和并行处理方面,:本文主要介绍Java中的La... 目录前言1. 什么是Lambda表达式?2. Lambda表达式的基本语法例子1:最简单的Lambda表
阅读更多...
Java中Scanner的用法示例小结

Java中Scanner的用法示例小结

《Java中Scanner的用法示例小结》有时候我们在编写代码的时候可能会使用输入和输出,那Java也有自己的输入和输出,今天我们来探究一下,对JavaScanner用法相关知识感兴趣的朋友一起看看吧... 目录前言一 输出二 输入Scanner的使用多组输入三 综合练习:猜数字游戏猜数字前言有时候我们在
阅读更多...
SQL BETWEEN 的常见用法小结

SQL BETWEEN 的常见用法小结

《SQLBETWEEN的常见用法小结》BETWEEN操作符是SQL中非常有用的工具,它允许你快速选取某个范围内的值,本文给大家介绍SQLBETWEEN的常见用法,感兴趣的朋友一起看看吧... 在SQL中,BETWEEN是一个操作符,用于选取介于两个值之间的数据。它包含这两个边界值。BETWEEN操作符常用
阅读更多...
go 指针接收者和值接收者的区别小结

go 指针接收者和值接收者的区别小结

《go指针接收者和值接收者的区别小结》在Go语言中,值接收者和指针接收者是方法定义中的两种接收者类型,本文主要介绍了go指针接收者和值接收者的区别小结,文中通过示例代码介绍的非常详细,需要的朋友们下... 目录go 指针接收者和值接收者的区别易错点辨析go 指针接收者和值接收者的区别指针接收者和值接收者的
阅读更多...
python uv包管理小结

python uv包管理小结

《pythonuv包管理小结》uv是一个高性能的Python包管理工具,它不仅能够高效地处理包管理和依赖解析,还提供了对Python版本管理的支持,本文主要介绍了pythonuv包管理小结,具有一... 目录安装 uv使用 uv 管理 python 版本安装指定版本的 Python查看已安装的 Python
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2