AFNetworking框架分析(六)——AFSecurityPolicy
在AF框架中,AFSecurityPolicy类只做了一件事,就是完成HTTPS认证。作为单向认证证书是否合法。 先来看看HTTP协议,超文本传输协议。目前使用最广泛的HTTP协议版本为1.1。在请求报文中,使用持久连接connection:keep-alive,默认不关闭连接,可以被多个请求复用。使用管道机制,复用一个tcp可以发送多个请求,但同时带来的问题客户端同时发送多个请求之后,服务端的响应只能是依次执行。 在HTTP2.0版本中,首先解决1.1版本中存在的问题,服务端的响应不再依次执行。所有HTTP2.0 通信都在一个TCP连接上完成, 这个连接可以承载任意数量的双向数据流Stream。 相应地, 每个数据流以 消息的形式发送, 而消息由一或多个帧组成, 这些帧可以乱序发送, 然后根据每个帧首部的流标识符重新组装。也就是多工功能。 其次是2.0协议对请求头部内容的压缩。HTTP 1.x每一次通信(请求/响应)都会携带首部信息用于描述资源属性。HTTP 2.0在客户端和服务端之间使用“首部表”来跟踪和存储之前发送的键-值对。首部表在连接过程中始终存在,新增的键-值对会更新到表尾,因此,不需要每次通信都需要再携带首部。 第三,HTTP2.0协议中可以实现服务端自推送功能。服务端可以根据客户端的请求,提前返回多个响应,推送额外的资源给客户端。 HTTP2.0原理参考文章连接 HTTP的缺点也很明显。明文传输,内容会被窃听;而且没有验证通信方的身份,就会遭遇信息伪装;无法验证报文的完整性,就可能会遇到中间人攻击遭遇信息的篡改。这时,就需要使用HTTPS协议来弥补HTTP协议中的缺陷。 在HTTPS协议中,首先对通讯进行加密,建议安全的通信线路,同时还会提供SSL证书确保通讯内容安全。 HTTPS协议包含了HTTP协议、SSL加密、证书认证以及完整性保护。 SSL证书分为两种:CA证书(certificate authority),受信任的;自签证书,不受信任。 HTTPS协议中的加密是用共享密钥加密与公开密钥加密的混合加密。共享密钥加密,加解密使用同一个密钥,即对称加密;公开密钥加密,分为公钥与私钥,公钥加密公开使用,而私钥则用于解密。HTTPS协议在交换密钥时使用公开密钥加密,在通信报文交换的过程中使用共享密钥。首先使用公开密钥加密的方式安全地交换将在稍后的共享密钥加密中要使用的密钥,在确保交换的密钥时安全的前提下,再使用共享密钥加密方式进行通讯交互。 既然AFSecurityPolicy类是用单向认证,使用一张图来更直观地表示交互过程。
HTTPS单向认证流程图
HTTPS协议在保证通讯安全的同时,也带来了一些问题:通讯交互处理会变慢,通信时间变长,消耗额外的CPU与内存等资源。
有了关于HTTPS协议的基本介绍,这时再回来看看AF框架中AFSecurityPolicy类如何配置以及作用。
AFHTTPSessionManager *manager = [AFHTTPSessionManager manager];
manager.securityPolicy = [self customPolicy];
-(AFSecurityPolicy *)customPolicy
{
//加载本地的public.cer证书文件
NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"public" ofType:@"cer"];
NSData *cerData = [NSData dataWithContentsOfFile:cerPath];
NSSet *set = [NSSet setWithObject:cerData];
//初始化AFSecurityPolicy,导入证书文件
AFSecurityPolicy *policy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate withPinnedCertificates:set];
//是否允许使用无效的证书,默认为NO
policy.allowInvalidCertificates = YES;
//是否验证证书中的域名domain,可能访问其子域名
policy.validatesDomainName = NO;
return policy;
}
在初始化AFSecurityPolicy对象时,方法中包含一个AFSSLPinningMode枚举
AFSSLPinningMode枚举中的作用
查看其初始化方法实现的内部
// 根据SSL验证模式和指定的证书集合创建实例
+ (instancetype)policyWithPinningMode:(AFSSLPinningMode)pinningMode withPinnedCertificates:(NSSet *)pinnedCertificates {
AFSecurityPolicy *securityPolicy = [[self alloc] init];
securityPolicy.SSLPinningMode = pinningMode;
// 设置证书集合 如果是默认的 已经通过[self defaultPinnedCertificates]得到了
[securityPolicy setPinnedCertificates:pinnedCertificates];
return securityPolicy;
}
通过HTTPS协议收到服务端的challenge时,比如需要验证证书,会执行- (void)URLSession:(NSURLSession *)session didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition disposition, NSURLCredential *credential))completionHandler
代理方法
挑战处理类型枚举
在AF框架中,遵循挑战处理的代理方法时,自定义了用来如何应对服务器端的不同类型认证挑战。首先判断了接受服务器挑战的方法是否是信任证书,其中只需要验证服务端证书是否安全(即https的单向认证,这是AF默认处理的认证方式,其他的认证方式,只能由自定义Block的实现)。当信任评估通过后,将信任凭证回调给服务器,之后即可进行数据通讯。
收到服务端挑战的代理方法实现
- 编写T4模板进行代码生成无法避免的两个话题:"Assembly Locking"&"Debug"
- 从yield关键字看IEnumerable和Collection的区别
- 让“链式调用(方法链)”更加自然一点
- ASP.NET应用下基于SessionState的“状态编程框架”解决方案
- 为自定义配置的编辑提供”智能感知”的支持
- 在ASP.NET Core应用中如何设置和获取与执行环境相关的信息?
- 在ASP.NET MVC中如何应用多个相同类型的ValidationAttribute?
- [ASP.NET MVC]如何定制Numeric属性/字段验证消息
- 为.NET Core项目定义Item Template
- 晚绑定场景下对象属性赋值和取值可以不需要PropertyInfo
- 一个关于反序列化的小问题
- 两个简单的扩展方法:TrimPrefix和TrimSuffix
- 谈谈Nullable<T>的类型转换问题
- ASP.NET MVC是如何运行的(3): Controller的激活
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- Python 内置模块:logging 官方基础教程翻译
- leetcode: explore-array-21 从排序数组中删除重复项
- leetcode: explore-array-22 买卖股票的最佳时机 II
- leetcode: explore-strings-32 反转字符串
- leetcode: explore-strings-33 反转字符串
- 02-leetcode: explore-strings-34 字符串中的第一个唯一字符
- 《操作系统》:理解一些基础概念
- Json与对象相互转换 - alibaba fastjson
- 2020-08-21
- Kubernetes Dashboard 与 LDAP 的集成
- Grafana Loki 简明教程
- 深度学习中7种最优化算法的可视化与理解
- 【基础详解】手磕实现 CNN卷积神经网络!
- 直播间源码android音视频开发
- 批量转化字符编码