iOS 原生库对 https 的处理
转载自:swift cafe
使用
NSURLSession
NSURLSession 是 iOS 原生提供的网络处理库。它提供了丰富的接口以及配置选项,满足我们平时网络处理的大部分需求,同时它也支持 https。关于 NSURLSession 的基本内容,可以参看之前的这篇文章:
这次我们主要介绍使用 NSURLSession 对 https 的处理,关于 https 的基本原理,大家可以参看这里:
好了,准备知识都了解了之后,我们就可以开始了。
NSURLSession 默认是支持 https 处理的, 包括证书验证, https 握手等操作, 都已经帮我们处理过了, 举个例子:
if let url = NSURL(string: "https://httpbin.org/get") {
NSURLSession.sharedSession().dataTaskWithURL(url) { data, response, error in
print("%@",NSString(data: data!, encoding: NSUTF8StringEncoding))
//成功输出
}.resume()
}
这里我们用 https 协议访问了一个地址。 就像访问普通的 http 地址一样, NSURLSession 的回调中成功的输出了返回的数据,我们完全没有进行任何的额外处理,就已经可以访问 https 地址了。
是的,这种情况对于服务器的证书正确的情况下,是没问题的。因为 NSURLSession 的内部处理机制中已经预置了可信任的根证书的。只要你访问的地址使用的 SSL证书,是用这些跟证书机构授权的,就不会有问题。
但还存在这样一种情况,就是如果你访问的地址所使用的证书,不是这些颁发机构授权的, 而是它们自己生成的(这也叫自签名证书), 问题就出现了。比如我们再用同样的 API 访问另一个地址:
if let url = NSURL(string: "https://www.pcwebshop.co.uk") {
NSURLSession.sharedSession().dataTaskWithURL(url) { data, response, error in
//...
}.resume()
}
如果执行这段代码的话,你会在控制台中收到这样一个错误:
NSURLSession/NSURLConnection HTTP load failed (kCFStreamErrorDomainSSL, -9802)
很明显,SSL 证书验证失败了,并且这个时候 dataTaskWithURL 方法的回调闭包中,不会返回任何数据。 所以我们在设计客户端使用 https 协议进行交互的时候,虽然大部分逻辑 iOS 原生库都已经帮我们处理好了,但这种证书验证失败的情况还是需要大家注意一下的。
其实 iOS 默认的这种实现也是有一定道理的,证书验证失败的站点,从原则上来说是不可信,不安全的。 所以原生库在默认情况下拒绝这样的链接也是正确的。
自定义证书验证行为
我们平常使用的大多数浏览器也是有这样的逻辑的,如果发现证书验证失败,就会给用户提示一个警告,让用户选择是否要继续访问。 iOS 原生库的通用原则是拒绝一切未经验证的证书, 这种行为可以很好的保证用户的安全。
但是,我们有一些自己特定的需求怎么办呢, 比如我们自己的 app 接口使用的是 https 方位我们自己的服务器, 但我们自己的服务器使用的是自签名证书, 如果按照默认行为的话, 尽管我们自己确信这个自签名证书是安全的,接口的访问也永远不会成功。 因为它不在 iOS 原生库的信任列表中。
这时候,我们就需要更深入的处理证书验证的细节了, NSURLSession 也给我们提供了相应的 API。 要在这些 API 中加入我们自己的验证逻辑,我们需要实现 NSURLSessionDelegate 的 didReceiveChallenge 方法:
func URLSession(session: NSURLSession, didReceiveChallenge challenge: NSURLAuthenticationChallenge, completionHandler: (NSURLSessionAuthChallengeDisposition, NSURLCredential?) -> Void) {
if challenge.protectionSpace.authenticationMethod == NSURLAuthenticationMethodServerTrust {
let credential = NSURLCredential(forTrust: challenge.protectionSpace.serverTrust!)
completionHandler(NSURLSessionAuthChallengeDisposition.UseCredential, credential)
}
}
didReceiveChallenge 方法中,首先通过 authenticationMethod 属性检测服务端的验证方式, 只有是 NSURLAuthenticationMethodServerTrust 的时候我们才进行处理。 NSURLAuthenticationMethodServerTrust 代表的就是 https 验证。
再看一下 if 分支里面的处理, NSURLCredential(forTrust: 这里创建了一个授信,告诉系统服务器返回的这个证书是可信的。这样这个自签名的证书也能获得通过了。
challenge.protectionSpace.serverTrust!)
再次运行程序,就可以看到这个自签名的地址能够正常访问了。
如果你是 iOS 9 以上的系统,还要记得修改一下 Info.plist 里面的 App Transport Security Settings 设置,在里面加上这一段即可:
<key>NSAppTransportSecurity</key>
<dict>
<key>NSAllowsArbitraryLoads</key>
<true/>
</dict>
否则,这种请求也会被 iOS 的全局设置阻拦的。
最新文章
- HTML文档头部
- 成为OpenStack工程师
- PDO和PDOStatement类常用方法
- # 20145205《Java程序设计》第2周学习总结
- 暗黑战神客户端(IOS和Android)打包教程
- 带你秒学JavaScript
- 攻城狮在路上(壹) Hibernate(十一)--- 映射实体关联关系
- dbcp2和dbcp 1.4在API层面的差异
- Test Tools
- 【python,排序】几种常用的排序算法,使用python实现
- rails 4.0.2 + mongoid 对mongodb进行增删改查
- mysql 省市联动sql 语句
- 关于学习Python的一些心得
- Linux用户登录记录日志和相关查看命令汇总
- eviews 9.5新版本——平均预测、面板效应检验
- [Swift]LeetCode906. 超级回文数 | Super Palindromes
- [20171130]关于rman备份疑问.txt
- EXTRACT FILES AND IMAGES FROM A SHAREPOINT CONTENT DATABASE
- nodejs发送邮件
- Linux信号和trap命令的使用