https信任证书的三种方

2024-09-06 12:08
文章标签 三种 https 证书 信任

本文主要是介绍https信任证书的三种方,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

苦逼的我调试AFNetworking发送https请求的bug ---------调试了一个上午,终于解决了


证书信任的过程:

证书的信任是通过代理的方式进行信任(NSURLConnection和NSURLSession两种方式进行信任)
客户端信任证书的过程:
1.当客户端要访问服务器的时候,服务器向客户端发送受保护的信任证书
2.客户端判断是否对客户端发送的证书进行信任,,
3.如果信任.则客户端会安装公钥在客户端,而服务器就拥有受保护证书的密钥,每一次向服务器请求数据的时候,服务器会先将要发送的数据进行密钥加密,客户端对所传数据通过公钥解密


下面分享一下自己的经验:

一开始请求数据先要信任证书,然后才能请求数据,不过对于百度,apple官网这样的大网站就不需要信任证书了,

只需要信任一次服务器证书

在信任证书的时候有两种方式:

大家熟知的有NSURLSession和NSURLConnection两种信任证书的方式,我会重点将第三种:

如果不信任证书的话会报下面的错误:

// NSURLSession/NSURLConnection HTTP load failed (kCFStreamErrorDomainSSL, -9843)

一.NSURLSession的方式信任证书是通过代理的方式:

1.先懒加载全局的会话:

[objc]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. @property (nonatomicstrongNSURLSession *session;  
  2. - (NSURLSession *)session {  
  3.     if (_session == nil) {  
  4.         NSURLSessionConfiguration *config = [NSURLSessionConfiguration defaultSessionConfiguration];  
  5.         _session = [NSURLSession sessionWithConfiguration:config delegate:self delegateQueue:nil];  
  6.     }  
  7.     return _session;  
  8. }  

2.发起数据任务

[objc]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. // url  
  2.    NSURL *url = [NSURL URLWithString:@"https://域名"];  
  3.      
  4.    // 发起数据任务  
  5.    [[self.session dataTaskWithURL:url completionHandler:^(NSData * _Nullable data, NSURLResponse * _Nullable response, NSError * _Nullable error) {  
  6.        NSLog(@"%@---%@",response,[[NSString alloc] initWithData:data encoding:NSUTF8StringEncoding]);  
  7.    }] resume];  

3.代理方法中实现证书的信任-----------

[objc]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. - (void)URLSession:(NSURLSession *)session task:(NSURLSessionTask *)task  
  2. didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge  
  3.  completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition disposition, NSURLCredential * __nullable credential))completionHandler {  
  4.     /* 
  5.      <NSURLProtectionSpace: 0x7fef2b686e20>:  
  6.      Host:mail.itcast.cn,  
  7.      Server:https,  
  8.      Auth-Scheme:NSURLAuthenticationMethodServerTrust, 
  9.      */  
  10.     // 判断是否是信任服务器证书  
  11.     if(challenge.protectionSpace.authenticationMethod == NSURLAuthenticationMethodServerTrust) {  
  1.  // 告诉服务器,客户端信任证书  
  2.         // 创建凭据对象  
  3.         NSURLCredential *credntial = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];  
  4.         // 通过completionHandler告诉服务器信任证书  
  5.         completionHandler(NSURLSessionAuthChallengeUseCredential,credntial);  
  6.     }  
  7.     NSLog(@"protectionSpace = %@",challenge.protectionSpace);  
  8. }  


二.NSURLConnection的方式信任证书也是通过代理的方式:

1.发送请求:

[objc]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. // url  
  2. NSURL *url = [NSURL URLWithString:@"https://mail.itcast.cn"];  
  3.   
  4. // request  
  5. NSURLRequest *request = [NSURLRequest requestWithURL:url];  
  6.   
  7. // 发送请求  
  8. [NSURLConnection connectionWithRequest:request delegate:self];  

2.信任证书
[objc]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. #pragma mark - NSURLConnectionDataDelegate 代理方法  
  2. - (void)connection:(NSURLConnection *)connection willSendRequestForAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge {  
  3.     // 判断是否是信任服务器证书  
  4.     if(challenge.protectionSpace.authenticationMethod == NSURLAuthenticationMethodServerTrust) {  
  5.         // 告诉服务器,客户端信任证书  
  6.         // 创建凭据对象  
  7.         NSURLCredential *credntial = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];  
  8.         // 告诉服务器信任证书  
  9.         [challenge.sender useCredential:credntial forAuthenticationChallenge:challenge];  
  10.     }  
  11. }  
3.获取请求到的数据
[objc]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. - (void)connection:(NSURLConnection *)connection didReceiveData:(NSData *)data {  
  2.     NSLog(@"data = %@",[[NSString alloc] initWithData:data encoding:NSUTF8StringEncoding]);  
  3. }  

三.AFNetworking的方式信任服务器证书:

先上代码:
[objc]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. AFHTTPSessionManager *manager = [AFHTTPSessionManager manager];  
  2. manager.securityPolicy.validatesDomainName = NO;  
  3. manager.responseSerializer = [AFHTTPResponseSerializer serializer];  
  4.   manager.responseSerializer.acceptableContentTypes = [NSSet setWithObjects:@"application/json"@"text/json"@"text/javascript",@"text/html", nil nil];  
  5. [manager GET:@"https://域名" parameters:nil progress:^(NSProgress * _Nonnull downloadProgress) {  
  6.     NSLog(@"%@",downloadProgress);  
  7. } success:^(NSURLSessionDataTask * _Nonnull task, id  _Nullable responseObject) {  
  8.     NSLog(@"%@---%@",[responseObject class],responseObject);  
  9.     NSLog(@"%@",[[NSString alloc]initWithData:responseObject encoding:NSUTF8StringEncoding]);  
  10. } failure:^(NSURLSessionDataTask * _Nullable task, NSError * _Nonnull error) {  
  11.     NSLog(@"%@",error);  
  12. }];  


注意解释遇到的坑:
1.https的协议直接请求的时候会报下面的错:

NSURLSession/NSURLConnection HTTP load failed (kCFStreamErrorDomainSSL, -9843)


2.设置属性
不能将 validatesDomainName设置为NO,当设置为NO以后可以发出任意的请求,所以要将其设置为YES(默认是YES)-----重点

manager.securityPolicy.validatesDomainName =YES;

AFNetworking 的安全相關設定放在 AFSecurityPolicy,它定義了三種 SSL Pinning Mode:

  • AFSSLPinningModeNone : 你不必將憑證跟你的 APP 一起打包,完全信任伺服器的憑證
  • AFSSLPinningModeCertificate : 比對伺服器憑證跟你的憑證是否完全匹配
  • AFSSLPinningModePublicKey : 只比對伺服器憑證的 public key 跟你的憑證的 public key 是否匹配

那要選用何種模式比較好呢?

AFSSLPinningModeCertificate 比較安全但也比較麻煩,它會比對你打包的憑證跟伺服器的憑證是否一致。因為你的憑證是跟 APP 一起打包的,這也就代表說如果你的憑證過期了或是變動了,你就得出一版新的 APP 而且舊版 APP 的憑證就失效了。你也可以在每次 APP 啟動時,就自動連到某個伺服器下載最新的憑證,不過此時這個下載連線就會是有風險的。

AFSSLPinningModePublicKey 則是只有比對憑證裡的 public key,所以即使伺服器憑證有所變動,只要 public key 不變,就能通過驗證。

所以如果你能確保每個使用者總是使用最新版本的 APP(例如是公司企業內部專用的),那就可以考慮 AFSSLPinningModeCertificate,否則的話選擇 AFSSLPinningModePublicKey 是比較實際的作法。


解决了证书信任的问题,也就是说设置上面的属性以后就可以信任证书了


但是问题没有解决:越到了经常遇到的问题,就是请求的数据打印有问题,

Error Domain=com.alamofire.error.serialization.response Code=-1016 "Request failed: unacceptable content-type: text/html" 


原因:

这是因为 AFNetworking默认把响应结果当成json来处理,(默认manager.responseSerializer = [AFJSONResponseSerializer serializer]) ,很显然,我们请求的百度首页 返回的并不是一个json文本,而是一个html网页,但是AFNetworking并不知道,它坚信请求的结果就是一个json文本!然后固执地以json的形式去解析,显然没办法把一个网页解析成一个字典或者数组,所以产生了上述错误.

然而,我们期望它能够正确地处理这个情形,而不是提示一个错误. 
这时候 你必须告诉AFNetworking:别把这个网页当json来处理! 

解决办法:

只需要在发送请求前加入:manager.responseSerializer = [AFHTTPResponseSerializer serializer]


以上步骤就可以实现https证书的信任和正确的获取例如baidu.com首页的html的源码...


附加说明:

网页上加载的数据本质是字符串,我们将获取到的网页数据通过二进制转字符串的形式可以讲网页数据进行打印:

 NSLog(@"%@",[[NSStringalloc]initWithData:responseObjectencoding:NSUTF8StringEncoding]);






有了上面的解决办法是不是不知道如何获取凭证能,别急,下面添加如何获取制定域名的凭证:

参考链接:

http://nelson.logdown.com/posts/2015/04/29/how-to-properly-setup-afnetworking-security-connection/


这篇关于https信任证书的三种方的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/1141964

相关文章

Java调用C#动态库的三种方法详解

Java调用C#动态库的三种方法详解

《Java调用C#动态库的三种方法详解》在这个多语言编程的时代,Java和C#就像两位才华横溢的舞者,各自在不同的舞台上展现着独特的魅力,然而,当它们携手合作时,又会碰撞出怎样绚丽的火花呢?今天,我们... 目录方法1:C++/CLI搭建桥梁——Java ↔ C# 的“翻译官”步骤1:创建C#类库(.NET
阅读更多...
在Spring Boot中实现HTTPS加密通信及常见问题排查

在Spring Boot中实现HTTPS加密通信及常见问题排查

《在SpringBoot中实现HTTPS加密通信及常见问题排查》HTTPS是HTTP的安全版本,通过SSL/TLS协议为通讯提供加密、身份验证和数据完整性保护,下面通过本文给大家介绍在SpringB... 目录一、HTTPS核心原理1.加密流程概述2.加密技术组合二、证书体系详解1、证书类型对比2. 证书获
阅读更多...
java对接第三方接口的三种实现方式

java对接第三方接口的三种实现方式

《java对接第三方接口的三种实现方式》:本文主要介绍java对接第三方接口的三种实现方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录HttpURLConnection调用方法CloseableHttpClient调用RestTemplate调用总结在日常工作
阅读更多...
SpringBoot实现接口数据加解密的三种实战方案

SpringBoot实现接口数据加解密的三种实战方案

《SpringBoot实现接口数据加解密的三种实战方案》在金融支付、用户隐私信息传输等场景中,接口数据若以明文传输,极易被中间人攻击窃取,SpringBoot提供了多种优雅的加解密实现方案,本文将从原... 目录一、为什么需要接口数据加解密?二、核心加解密算法选择1. 对称加密(AES)2. 非对称加密(R
阅读更多...
基于Go语言实现Base62编码的三种方式以及对比分析

基于Go语言实现Base62编码的三种方式以及对比分析

《基于Go语言实现Base62编码的三种方式以及对比分析》Base62编码是一种在字符编码中使用62个字符的编码方式,在计算机科学中,,Go语言是一种静态类型、编译型语言,它由Google开发并开源,... 目录一、标准库现状与解决方案1. 标准库对比表2. 解决方案完整实现代码(含边界处理)二、关键实现细
阅读更多...
MySQL精准控制Binlog日志数量的三种方案

MySQL精准控制Binlog日志数量的三种方案

《MySQL精准控制Binlog日志数量的三种方案》作为数据库管理员,你是否经常为服务器磁盘爆满而抓狂?Binlog就像数据库的“黑匣子”,默默记录着每一次数据变动,但若放任不管,几天内这些日志文件就... 目录 一招修改配置文件:永久生效的控制术1.定位my.cnf文件2.添加核心参数不重启热更新:高手应
阅读更多...
在 PyQt 加载 UI 三种常见方法

在 PyQt 加载 UI 三种常见方法

《在PyQt加载UI三种常见方法》在PyQt中,加载UI文件通常指的是使用QtDesigner设计的.ui文件,并将其转换为Python代码,以便在PyQt应用程序中使用,这篇文章给大家介绍在... 目录方法一:使用 uic 模块动态加载 (不推荐用于大型项目)方法二:将 UI 文件编译为 python 模
阅读更多...
springboot项目如何开启https服务

springboot项目如何开启https服务

《springboot项目如何开启https服务》:本文主要介绍springboot项目如何开启https服务方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录springboot项目开启https服务1. 生成SSL证书密钥库使用keytool生成自签名证书将
阅读更多...
如何将Python彻底卸载的三种方法

如何将Python彻底卸载的三种方法

《如何将Python彻底卸载的三种方法》通常我们在一些软件的使用上有碰壁,第一反应就是卸载重装,所以有小伙伴就问我Python怎么卸载才能彻底卸载干净,今天这篇文章,小编就来教大家如何彻底卸载Pyth... 目录软件卸载①方法:②方法:③方法:清理相关文件夹软件卸载①方法:首先,在安装python时,下
阅读更多...
Redis实现延迟任务的三种方法详解

Redis实现延迟任务的三种方法详解

《Redis实现延迟任务的三种方法详解》延迟任务(DelayedTask)是指在未来的某个时间点,执行相应的任务,本文为大家整理了三种常见的实现方法,感兴趣的小伙伴可以参考一下... 目录1.前言2.Redis如何实现延迟任务3.代码实现3.1. 过期键通知事件实现3.2. 使用ZSet实现延迟任务3.3
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2