https请求之iOS客户端---AFNetworking

说点什么

自从出了iOS 9.0之后,Apple要求使用更安全的协议HTTPS,刚开始我们还可以通过在info.plist文件里添加键值对:
App Transport Security Settings ( Dictionary )
Allow Arbitrary Loads -- YES ( BOOL )
来继续使用http请求,但是在2017年1月1日后,所有上架的APP必须使用HTTPS,到时候再这么设置就不管用了。
接下来说下我的解决方案及遇到的问题以供大家参考。

首先要确保服务器支持HTTPS,关于服务器的配置推荐参考这篇文章:服务器相关设置,亲测有效哦!

上干货

准备工作

单向认证只需要 根证书,双向认证还需要一个 客户端证书 (单向双向的区别注意看代码里的注释哦)

检测服务器是否符合ATS要求:
安装 根证书 到钥匙串,然后在终端输入
nscurl --ats-diagnostics --verbose https://你的请求链接
如果都符合的话,result 都是pass,哪一项不符合就让服务器修改哪项,当然能不能请求到数据还有其他因素,因为我之前全部都是pass,但是还不能得到数据,因为证书有问题;

1 后台GG会给你一个.crt文件(根证书),和一个client.p12文件(客户端证书),我们需要把.crt格式的根证书转换成我们用的.cer格式。(有人说只能识别der格式,纯属误人子弟!)
格式转换方法:双击.crt文件安装根证书到钥匙串,然后右键选择导出为.cer。

2把导出的.cer根证书和client.p12客户端证书一起拖到项目中,注意勾选相应的target

1. 使用第三方AFNetworking3.1.0

先对AFNetworking做个小小的封装:
新建一个继承于 AFHTTPSessionManager 的类 HttpsNetworking,使用此类时直接用
HttpsNetworking *manager = [HttpsNetworking getManager];
代替原来的
AFHTTPSessionManager *manager = [HttpsNetworking manager] ;
其他的不做任何改变!
下面是分别看一下各个方法的作用及实现

  • +(HttpsNetworking *)getManager;
    代替AFHTTPSessionManager的类方法 manager
+(HttpsNetworking *)getManager{
    //调用父类的方法manager获得一个网络请求对象
    HttpsNetworking * manager=[HttpsNetworking manager];
    //设置manager的securityPolicy
    manager.securityPolicy=[self policy];
    //如果是双向认证则重写NSURLSesson的代理方法(取消下面的注释就可以)
//    [self setSessionDidReceiveAuthenticationChallengeWithManager:manager];
    return manager;
}
  • +(AFSecurityPolicy *)policy;
    这个方法就是对证书的一些相关设置
+ (AFSecurityPolicy *)policy{
    //根证书路径
    NSString * path = [[NSBundle mainBundle] pathForResource:@"根证书" ofType:@"cer"];
    //
    NSData * cerData = [NSData dataWithContentsOfFile:path];
    //
    NSSet * dataSet = [NSSet setWithObject:cerData];
    //AFNetworking验证证书的object,AFSSLPinningModeCertificate参数决定了验证证书的方式
    AFSecurityPolicy * policy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate withPinnedCertificates:dataSet];
    //是否可以使用自建证书(不花钱的)
    policy.allowInvalidCertificates=YES;
    //是否验证域名(一般不验证)
    policy.validatesDomainName=NO;
    return policy;
}

下面两个方法是双向认证需要实现的,如果你只做单向认证的话可以不看了

  • +(void)setSessionDidReceiveAuthenticationChallengeWithManager:(AFHTTPSessionManager *)manager ;
    双向认证会走这个方法两次,分别验证服务器和客户端
+ (void)setSessionDidReceiveAuthenticationChallengeWithManager:(AFHTTPSessionManager *)manager{
    
    __weak typeof(manager)weakManager = manager;
    __weak typeof(self)weakSelf = self;


    [manager setSessionDidReceiveAuthenticationChallengeBlock:^NSURLSessionAuthChallengeDisposition(NSURLSession*session, NSURLAuthenticationChallenge *challenge, NSURLCredential *__autoreleasing*_credential) {
        NSURLSessionAuthChallengeDisposition disposition = NSURLSessionAuthChallengePerformDefaultHandling;
        __autoreleasing NSURLCredential *credential =nil;
        
        
        if([challenge.protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust]) {
            NSLog(@"验证服务器1");
            if([weakManager.securityPolicy evaluateServerTrust:challenge.protectionSpace.serverTrust forDomain:challenge.protectionSpace.host]) {
                NSLog(@"验证服务器2");
                
                credential = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];
                if(credential) {
                    NSLog(@"验证服务器3");
                    disposition =NSURLSessionAuthChallengeUseCredential;
                } else {
                    NSLog(@"验证服务器4");
                    
                    disposition =NSURLSessionAuthChallengePerformDefaultHandling;
                }
            } else {
                NSLog(@"验证服务器5");
                
                disposition = NSURLSessionAuthChallengeCancelAuthenticationChallenge;
            }
        } else {
            NSLog(@"验证客户端1");
            
            // client authentication
            SecIdentityRef identity = NULL;
            SecTrustRef trust = NULL;
            NSString *p12 = [[NSBundle mainBundle] pathForResource:@"client"ofType:@"p12"];
            NSFileManager *fileManager =[NSFileManager defaultManager];
            
            if(![fileManager fileExistsAtPath:p12])
            {
                NSLog(@"client.p12:not exist");
            }
            else
            {
                NSLog(@"验证客户端2");
                
                NSData *PKCS12Data = [NSData dataWithContentsOfFile:p12];
                
                if ([[weakSelf class]extractIdentity:&identity andTrust:&trust fromPKCS12Data:PKCS12Data])
                {
                    NSLog(@"验证客户端3");
                    
                    SecCertificateRef certificate = NULL;
                    SecIdentityCopyCertificate(identity, &certificate);
                    const void*certs[] = {certificate};
                    CFArrayRef certArray =CFArrayCreate(kCFAllocatorDefault, certs,1,NULL);
                    credential =[NSURLCredential credentialWithIdentity:identity certificates:(__bridge  NSArray*)certArray persistence:NSURLCredentialPersistencePermanent];
                    disposition =NSURLSessionAuthChallengeUseCredential;
                }
                
            }
        }
        *_credential = credential;
        return disposition;
    }];
}

  • +(BOOL)extractIdentity:(SecIdentityRef*)outIdentity andTrust:(SecTrustRef *)outTrust fromPKCS12Data:(NSData *)inPKCS12Data ;
    真正验证客户端证书
+ (BOOL)extractIdentity:(SecIdentityRef*)outIdentity andTrust:(SecTrustRef *)outTrust fromPKCS12Data:(NSData *)inPKCS12Data {
    OSStatus securityError = errSecSuccess;
    //客户端证书密码
    NSDictionary*optionsDictionary = [NSDictionary dictionaryWithObject:@"123456" forKey:(__bridge id)kSecImportExportPassphrase];
    
    CFArrayRef items = CFArrayCreate(NULL, 0, 0, NULL);
    securityError = SecPKCS12Import((__bridge CFDataRef)inPKCS12Data,(__bridge CFDictionaryRef)optionsDictionary,&items);
    
    if(securityError == 0) {
        CFDictionaryRef myIdentityAndTrust =CFArrayGetValueAtIndex(items,0);
        const void*tempIdentity =NULL;
        tempIdentity= CFDictionaryGetValue (myIdentityAndTrust,kSecImportItemIdentity);
        *outIdentity = (SecIdentityRef)tempIdentity;
        const void*tempTrust =NULL;
        tempTrust = CFDictionaryGetValue(myIdentityAndTrust,kSecImportItemTrust);
        *outTrust = (SecTrustRef)tempTrust;
    } else {
        NSLog(@"Failedwith error code %d",(int)securityError);
        return NO;
    }
    return YES;
}

现在你就可以请求https开头的链接啦!
使用示例:

    HttpsNetworking *manager = [HttpsNetworking getManager];
    
    [manager GET:[FormalUrl stringByAppendingString:homeHttp] parameters:parameterDic progress:^(NSProgress * _Nonnull downloadProgress) {
        
    } success:^(NSURLSessionDataTask * _Nonnull task, id  _Nullable responseObject) {
        
        NSLog(@"%@",responseObject);
        
    } failure:^(NSURLSessionDataTask * _Nullable task, NSError * _Nonnull error) {
        NSLog(@"%@",error);
        
    }];

遇到的问题

code=-1206,

如果遇到这个错误请后台GG检查服务器
1、必须支持传输层安全(TLS)协议1.2以上版本
2、证书必须使用SHA256或更高的哈希算法签名
3、必须使用2048位以上RSA密钥或256位以上ECC算法等等
4、证书必须是V3版本
都要满足条件才行

结束语

如果这篇文章有帮到你,请点个赞留下你的足迹
如果有什么不对的地方请留言评论,真的会回复哦~
稍后会附上Demo下载链接


Demmo下载地址

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,602评论 6 481
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,442评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 152,878评论 0 344
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,306评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,330评论 5 373
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,071评论 1 285
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,382评论 3 400
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,006评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,512评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,965评论 2 325
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,094评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,732评论 4 323
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,283评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,286评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,512评论 1 262
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,536评论 2 354
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,828评论 2 345

推荐阅读更多精彩内容