|
一般來講如果app用了web service , 我們需要防止數(shù)據(jù)嗅探來保證數(shù)據(jù)安全.通常的做法是用ssl來連接以防止數(shù)據(jù)抓包和嗅探
其實這么做的話還是不夠的 �。 我們還需要防止中間人攻擊(不明白的自己去百度)。攻擊者通過偽造的ssl證書使app連接到了偽裝的假冒的服務(wù)器上��,這是個嚴(yán)重的問題���!那么如何防止中間人攻擊呢��?
首先web服務(wù)器必須提供一個ssl證書����,需要一個 .crt 文件,然后設(shè)置app只能連接有效ssl證書的服務(wù)器���。
在開始寫代碼前���,先要把 .crt 文件轉(zhuǎn)成 .cer 文件,然后在加到xcode 里面
.crt 文件轉(zhuǎn)成 .cer 文件
1.使用openssl 進行轉(zhuǎn)換
openssl x509 -in 你的證書.crt -out 你的證書.cer -outform der
2.通過安裝crt文件���,電腦導(dǎo)出
1)先打開“鑰匙串訪問”
2)選中你安裝的crt文件證書��,選擇“文件”--》“導(dǎo)出項目”
3)選擇.cer證書���,存儲即可。
AFNetworking 對數(shù)據(jù)進行https ssl加密
實際上�����,很簡單��,只需要兩步�。
第一步:新增一個類
+ (AFSecurityPolicy*)customSecurityPolicy
{
// /先導(dǎo)入證書
NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"hgcang" ofType:@"cer"];//證書的路徑
NSData *certData = [NSData dataWithContentsOfFile:cerPath];
// AFSSLPinningModeCertificate 使用證書驗證模式
AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];
// allowInvalidCertificates 是否允許無效證書(也就是自建的證書),默認為NO
// 如果是需要驗證自建證書���,需要設(shè)置為YES
securityPolicy.allowInvalidCertificates = YES;
//validatesDomainName 是否需要驗證域名��,默認為YES��;
//假如證書的域名與你請求的域名不一致�,需把該項設(shè)置為NO;如設(shè)成NO的話��,即服務(wù)器使用其他可信任機構(gòu)頒發(fā)的證書��,也可以建立連接���,這個非常危險,建議打開��。
//置為NO�,主要用于這種情況:客戶端請求的是子域名,而證書上的是另外一個域名��。因為SSL證書上的域名是獨立的���,假如證書上注冊的域名是www.google.com�,那么mail.google.com是無法驗證通過的�;當(dāng)然,有錢可以注冊通配符的域名*.google.com��,但這個還是比較貴的。
//如置為NO���,建議自己添加對應(yīng)域名的校驗邏輯����。
securityPolicy.validatesDomainName = NO;
securityPolicy.pinnedCertificates = @[certData];
return securityPolicy;
}
第二步:直接在請求方法里加入����,只有一行代碼
+ (void)post:(NSString *)url params:(NSDictionary *)params success:(void (^)(id))success failure:(void (^)(NSError *))failure
{
// 1.獲得請求管理者
AFHTTPRequestOperationManager *mgr = [AFHTTPRequestOperationManager manager];
// 2.申明返回的結(jié)果是text/html類型
mgr.responseSerializer = [AFHTTPResponseSerializer serializer];
// 加上這行代碼,https ssl 驗證�。
//[mgr setSecurityPolicy:[self customSecurityPolicy]];
// 3.發(fā)送POST請求
[mgr POST:url parameters:params
success:^(AFHTTPRequestOperation *operation, id responseObj) {
if (success) {
success(responseObj);
}
} failure:^(AFHTTPRequestOperation *operation, NSError *error) {
if (failure) {
failure(error);
}
}];
}
接下來,我們通過Charles抓取數(shù)據(jù)�����,抓到的數(shù)據(jù)已經(jīng)加密��。
可能遇到的問題
1)證書一定要拉到項目里面���,AFN加了驗證之后���,看看獲取證書的certData是否為空。如果為空,則證書有問題
NSData *certData = [NSData dataWithContentsOfFile:cerPath];
2.如果https服務(wù)器沒有數(shù)據(jù)返回���,很大可能是因為服務(wù)器配置出了問題���。
附Demo: http://download.csdn.net/detail/jys1216/9412638
注:由于cer證書是真實的項目在用,不便提供����,因些Demo里的cer證書和請求鏈接都是有誤的。請?zhí)鎿Q使用��。
demo里的cer文件��,我是在AFN里找的���,certData是有數(shù)據(jù)的。
參考文章
iOS安全系列之一:HTTPS :http:///2014/10/21/Security-1-HTTPS/
|
