<address id="r9vd9"><address id="r9vd9"><listing id="r9vd9"></listing></address></address>
      



      

      

      
	
      
		歡迎您光臨深圳塔燈網絡科技有限公司!
		
      
		  電話圖標 余先生:13699882642 
		
      
	
      

      

      


      

      








 


      
	
	
      
			
      網站百科
      
			
      為您解碼網站建設的點點滴滴
      
	
      
	
      
		
	
      

      



      
	
      
		
	
      


	
      
		
      

		
			
      


				
      
					
      https原理和iOS的適配(認證)
      
					
      發表日期:2017-03    文章編輯:小燈    瀏覽次數:2271
      
				
      
				
      
				
       
      一、http和https的區別
      引用度娘的一段話
      HTTPS和HTTP的區別
      超文本傳輸協議HTTP協議被用于在Web瀏覽器和網站服務器之間傳遞信息。HTTP協議以明文方式發送內容,不提供任何方式的數據加密,如果攻擊者截取了Web瀏覽器和網站服務器之間的傳輸報文,就可以直接讀懂其中的信息,因此HTTP協議不適合傳輸一些敏感信息,比如信用卡號、密碼等。
      為了解決HTTP協議的這一缺陷,需要使用另一種協議:安全套接字層超文本傳輸協議HTTPS。為了數據傳輸的安全,HTTPS在HTTP的基礎上加入了SSL協議,SSL依靠證書來驗證服務器的身份,并為瀏覽器和服務器之間的通信加密。
      HTTPS和HTTP的區別主要為以下四點:
      一、https協議需要到ca申請證書,一般免費證書很少,需要交費。
      二、http是超文本傳輸協議,信息是明文傳輸,https 則是具有安全性的ssl加密傳輸協議。
      三、http和https使用的是完全不同的連接方式,用的端口也不一樣,前者是80,后者是443。
      四、http的連接很簡單,是無狀態的;HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議,比http協議安全。(引自度娘)
      上面的那一坨總結出來就是,http數據為明文傳輸,被攔截后就直接明文可以看到數據;而https數據為加密傳輸,即使被攔截到了,那也是亂碼。當然,這里應該有抓包過https的小伙伴表示不服,這個下面會說到的。
      因為加上了這一ssl層,所以https在整個傳輸過程中,大部分時間都是消耗在了ssl的認證、加密中,所以相比于http,速度還是會慢一點的,所以上面說視頻流媒體的app可以不用強制https,因為太耗時間了。。。
      二、https之服務器簡單聊一聊
      因為本人并不是服務器開發,所以這個服務器這方面就提一下。
      要想從http升級成https,那得先服務器認證。
      就是要證明你這個服務器,是你所聲明的服務器。沒錯,就像天朝的要證明你是你自己,你證明你媽是你嗎。。。表示心疼需要證明的小伙伴。。。。
      那怎么證明你媽是你媽,呸。。。不是,是證明你的服務器,就是你所聲明的服務器那?你說你是百度,我還說我是那?。?/p>
      所以,這里就涉及到了一個權威的機構登場CA (Certificate Authority)?。?!
      采用https的服務器必須從CA (Certificate Authority)申請一個用于證明服務器用途類型的證書。該證書只有用于對應的服務器的時候,客戶端才信任此主機。(一般這種證書都是要花錢的買的。。。。)
      舉個栗子
      你用瀏覽器訪問一些網站的時候,瀏覽器會自動驗證網站的證書,如果證書不是CA簽發的,那么瀏覽器會提示提示你,此網站的證書無效(因為不是指定的機構簽發的,有可能是自己簽發的),如下圖
       
       
       
      當不是正規機構簽發的證書
      有木有人看著眼熟,對,你登錄12306的時候,有木有!!
      堂堂大鐵路局的12306證書竟然不是正規機構簽發的!!要知道瀏覽器連草榴都信任,說明草榴的證書都是正規買的,12306竟然后還是自己簽發的。。。就差這點錢么?
      如果服務器買好了證書的話,因為要符合蘋果的ATS政策
      ·服務器所有的連接使用TLS1.2以上版本
      ·HTTPS證書必須使用SHA256以上哈希算法簽名
      ·HTTPS證書必須使用RSA 2048位或ECC 256位以上公鑰算法
      還有證書還要是符合蘋果認同的,最近沃通的證書好像就快到期了,所以是沃通簽發的趕緊去重新買。
      配置完的可以用這個來查看是否符合蘋果的要求,傳送門SSL證書 - 騰訊云
      三、https流程
      其實百度https,上面就有https的流程(我是傳送門https_百度百科),所以這里簡單的說下,其中的各種算法、參數的交換在下面的步驟就不細說了,請自行傳送門。
      這里分https的單向認證和雙向認證(單向還是雙向這個需要服務器去配置的),所以分開來說,要不小伙伴們會蒙的
      單向認證
      材料:買來的服務器證書server.cer(客戶端要放一個,用來驗證服務端),客戶端,服務器。
      數據加密基本原理:RSA加密+對稱加密(數據data經對稱密鑰key加密,然后把對稱密鑰key經RSA公鑰加密)
      1、客戶端向服務器發起請求。
      2、服務器響應到請求,同時把服務器的證書發給客戶端。
      3、客戶端接收到證書,然后和客戶端中的證書對比,如果證書不一致或者無效,那么斷開連接。如果通過,那么進行第四部。
      4、用戶產生一個隨機密鑰,然后經服務器證書中的公鑰進行加密,傳給服務端。
      5、服務端拿到加密數據和加密密鑰,用服務器的私鑰解開密鑰,得到對稱密鑰key。
      6、服務端和客戶端互相通訊指定這個密鑰為加密密鑰。握手結束
      7、客戶端和服務端開始通訊,通訊數據由對稱密鑰加密。
       
       
       
      簡易圖(對付看吧)
      雙向認證
      雙向認證比單向認證多了一步,就是服務器要認證客戶端,按照百度百科上的步驟,客戶端應該有一個由CA(或正規機構)簽發的p12證書,和CA根證書(簽名的p12就是由這個簽名的)
      //上面的CA根證書和p12證書 ? 其實都可以自簽的,下面介紹的也是自簽的
      材料:買來的服務器證書server.cer(客戶端要放一個,用來驗證服務端),客戶端,服務器端,CA的根證書(放到服務器中,用來驗證客戶端的證書),p12證書(用來放到客戶端,網絡請求的時候會傳給服務端)。
      步驟:就是在上面第4步的時候,要用p12文件來對一段數據進行簽名,然后把簽名和p12證書,加密的對稱密鑰(上面的說過的)傳給服務器,然后服務器接到以后,會用CA根證書(或自簽的根證書)來對證書和簽名數據進行驗證,如果正確,通訊繼續,否則,斷開連接。
      其他的都是一樣的。
      四、自簽證書的過程
      p12和CA根證書,其實也可以自簽的,現在說下自簽的過程。
      首先,先有個工具,xca
       
       
       
      xca
      就是這個東西,然后安裝以后
       
       
       
      xca界面
      首先,先生生成一個datacode
       
       
       
      新建database
       
       
       
      填寫database名字和存放地址
       
       
       
      設置database的密碼,并確認
      然后就會生成一個這個東西
       
       
       
      然后根據這個database生成一個CA根證書(當然,是自簽的了)
       
       
       
       
       
       
      根證書ca設置
       
       
       
      根證書的具體設置
       
       
       
      根證書CA私鑰的設置
      直接點確定,然后就會提示你privatekey創建好了,然后直接確定到下面這個圖
       
       
       
      根證書創建成功后會在xca中顯示出來的
      然后導出CA根證書
       
       
       
      根證書CA的導出
       
       
       
      就是它
      這時候,自簽的CA根證書就創建好了,這個CA證書是要放到服務器上的。一般默認的CA證書時間是10年。
      然后這時候,就要創建自簽的p12證書了。選中這個CA證書,然后
       
       
       
      創建p12證書
       
       
       
      設置p12證書的源頭
      然后subject里面和設置CA證書一樣。
      p12證書默認是一年的,如果感覺短的話 ? 可以在Extensions中設置時間。
      然后把P12證書放到客戶端項目里。
      五、iOS端的https雙向適配
      AFN的https的雙向適配2.x和3.0不一樣,先說3.0
      客戶端認證服務端,
      shareManager = [AFHTTPSessionManager manager];
      shareManager.securityPolicy = [self customSecurityPolicyWithCerName:HPWalletServerCerName];//調用方法
      //客戶端認證服務端的方法
      + (AFSecurityPolicy *)customSecurityPolicyWithCerName:(NSString *)cerName{
      //導入證書路徑
      NSString *cerPath = [[NSBundle mainBundle] pathForResource:cerName ofType:@""];
      //加載證書
      NSData *cerData = [NSData dataWithContentsOfFile:cerPath];
      NSSet *certSet = [NSSet setWithObject:cerData];
      //使用AFSSLPinningModeCertificate證書驗證模式
      AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate withPinnedCertificates:certSet];
      //allowInvalidCertificates 是否允許無效證書(也就是自建的證書),默認為NO
      //如果是需要驗證自建證書,需要設置為YES
      securityPolicy.allowInvalidCertificates = NO;
      //是否需要驗證域名,默認為YES
      //假如證書的域名與你請求的域名不一致,需把該項設置為NO;如設成NO的話,即服務器使用其他可信任機構頒發的證書,也可以建立連接,這個非常危險,建議打開。
      //置為NO,主要用于這種情況:客戶端請求的是子域名,而證書上的是另外一個域名。因為SSL證書上的域名是獨立的,假如證書上注冊的域名是www.google.com,那么mail.google.com是無法驗證通過的;當然,有錢可以注冊通配符的域名*.google.com,但這個還是比較貴的。
      //如置為NO,建議自己添加對應域名的校驗邏輯。
      securityPolicy.validatesDomainName = YES;
      return securityPolicy;
      }
      重寫AFN的方法 ?來讓服務器認證客戶端
      {//新的https
      shareManager.securityPolicy = [self customSecurityPolicyWithCerName:HPWalletServerCerName];
      //客戶端請求驗證,重寫setSessionDidReceiveAuthenticationChallengeBlock方法
      [shareManager setSessionDidReceiveAuthenticationChallengeBlock:^NSURLSessionAuthChallengeDisposition(NSURLSession *session, NSURLAuthenticationChallenge *challenge, NSURLCredential *__autoreleasing *_credential) {
      NSURLSessionAuthChallengeDisposition disposition = NSURLSessionAuthChallengePerformDefaultHandling;
      __autoreleasing NSURLCredential *credential = nil;
      if([challenge.protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust]) {
      if([shareManager.securityPolicy evaluateServerTrust:challenge.protectionSpace.serverTrust forDomain:challenge.protectionSpace.host]) {
      credential = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];
      if(credential) {
      disposition =NSURLSessionAuthChallengeUseCredential;
      } else {
      disposition =NSURLSessionAuthChallengePerformDefaultHandling;
      }
      } else {
      disposition = NSURLSessionAuthChallengeCancelAuthenticationChallenge;
      }
      } else {
      // client authentication
      SecIdentityRef identity = NULL;
      SecTrustRef trust = NULL;
      NSString *p12 = [[NSBundle mainBundle] pathForResource:@"p12文件的名字" ofType:@"p12"];
      NSFileManager *fileManager =[NSFileManager defaultManager];
      if(![fileManager fileExistsAtPath:p12]) {
      NSLog(@"hpwallet-client.p12:not exist");
      } else {
      NSData *PKCS12Data = [NSData dataWithContentsOfFile:p12];
      if ([[self class] extractIdentity:&identity andTrust:&trust fromPKCS12Data:PKCS12Data]) {
      SecCertificateRef certificate = NULL;
      SecIdentityCopyCertificate(identity, &certificate);
      const void *certs[] = {certificate};
      CFArrayRef certArray =CFArrayCreate(kCFAllocatorDefault, certs,1,NULL);
      credential =[NSURLCredential credentialWithIdentity:identity certificates:(__bridge ?NSArray*)certArray persistence:NSURLCredentialPersistencePermanent];
      disposition =NSURLSessionAuthChallengeUseCredential;
      }
      }
      }
      *_credential = credential;
      return disposition;
      }];
      }
      + (BOOL)extractIdentity:(SecIdentityRef *)outIdentity andTrust:(SecTrustRef *)outTrust fromPKCS12Data:(NSData *)inPKCS12Data {
      OSStatus securityError = errSecSuccess;
      //client certificate password
      NSDictionary*optionsDictionary = [NSDictionary dictionaryWithObject:@“p12的密碼“ forKey:(__bridge id)kSecImportExportPassphrase];
      CFArrayRef items = CFArrayCreate(NULL, 0, 0, NULL);
      securityError = SecPKCS12Import((__bridge CFDataRef)inPKCS12Data,(__bridge CFDictionaryRef)optionsDictionary,&items);
      if(securityError == 0) {
      CFDictionaryRef myIdentityAndTrust =CFArrayGetValueAtIndex(items,0);
      const void*tempIdentity =NULL;
      tempIdentity= CFDictionaryGetValue (myIdentityAndTrust,kSecImportItemIdentity);
      *outIdentity = (SecIdentityRef)tempIdentity;
      const void*tempTrust =NULL;
      tempTrust = CFDictionaryGetValue(myIdentityAndTrust,kSecImportItemTrust);
      *outTrust = (SecTrustRef)tempTrust;
      } else {
      NSLog(@"Failedwith error code %d",(int)securityError);
      return NO;
      }
      return YES;
      }
      AFN2.x適配
      客戶端認證服務器
      manage.securityPolicy = [HttpServiceAFNetworkImp customSecurityPolicy];
      + (AFSecurityPolicy *)customSecurityPolicy
      {
      NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"服務器.cer證書的名字"ofType:@"der"];
      NSData *cerData = [NSData dataWithContentsOfFile:cerPath];
      AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];
      //allowInvalidCertificates 是否允許無效證書(也就是自建的證書),默認為NO
      //如果是需要驗證自建證書,需要設置為YES
      securityPolicy.allowInvalidCertificates = NO;
      //是否需要驗證域名,默認為YES
      //假如證書的域名與你請求的域名不一致,需把該項設置為NO;如設成NO的話,即服務器使用其他可信任機構頒發的證書,也可以建立連接,這個非常危險,建議打開。
      //置為NO,主要用于這種情況:客戶端請求的是子域名,而證書上的是另外一個域名。因為SSL證書上的域名是獨立的,假如證書上注冊的域名是www.google.com,那么mail.google.com是無法驗證通過的;當然,有錢可以注冊通配符的域名*.google.com,但這個還是比較貴的。
      //如置為NO,建議自己添加對應域名的校驗邏輯。
      securityPolicy.validatesDomainName = YES;
      //放入證書
      securityPolicy.pinnedCertificates = @[cerData];
      return securityPolicy;
      }
      服務器認證客戶端,這個要把AFN的AFURLConnectionOperation.m文件中 ?- (void)connection:(NSURLConnection *)connection willSendRequestForAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge方法替換掉 ?替換成
      - (void)connection:(NSURLConnection *)connection
      willSendRequestForAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge
      {
      NSString *thePath = [[NSBundle mainBundle] pathForResource:@"client" ofType:@"p12"];
      //倒入證書 ? ? ? NSLog(@"thePath===========%@",thePath);
      NSData *PKCS12Data = [[NSData alloc] initWithContentsOfFile:thePath];
      CFDataRef inPKCS12Data = (__bridge CFDataRef)PKCS12Data;
      SecIdentityRef identity = NULL;
      // extract the ideneity from the certificate
      [self extractIdentity :inPKCS12Data toIdentity:&identity];
      SecCertificateRef certificate = NULL;
      SecIdentityCopyCertificate (identity, &certificate);
      const void *certs[] = {certificate};
      // ? ? ? ? ? ? ? ? ? ? ? ?CFArrayRef certArray = CFArrayCreate(kCFAllocatorDefault, certs, 1, NULL);
      // create a credential from the certificate and ideneity, then reply to the challenge with the credential
      //NSLog(@"identity=========%@",identity);
      NSURLCredential *credential = [NSURLCredential credentialWithIdentity:identity certificates:nil persistence:NSURLCredentialPersistencePermanent];
      // ? ? ? ? ? credential = [NSURLCredential credentialWithIdentity:identity certificates:(__bridge NSArray*)certArray persistence:NSURLCredentialPersistencePermanent];
      [challenge.sender useCredential:credential forAuthenticationChallenge:challenge];
      }
      并添加下面的方法
      - (OSStatus)extractIdentity:(CFDataRef)inP12Data toIdentity:(SecIdentityRef*)identity {
      OSStatus securityError = errSecSuccess;
      CFStringRef password = CFSTR("證書密碼");
      const void *keys[] = { kSecImportExportPassphrase };
      const void *values[] = { password };
      CFDictionaryRef options = CFDictionaryCreate(NULL, keys, values, 1, NULL, NULL);
      CFArrayRef items = CFArrayCreate(NULL, 0, 0, NULL);
      securityError = SecPKCS12Import(inP12Data, options, &items);
      if (securityError == 0)
      {
      CFDictionaryRef ident = CFArrayGetValueAtIndex(items,0);
      const void *tempIdentity = NULL;
      tempIdentity = CFDictionaryGetValue(ident, kSecImportItemIdentity);
      *identity = (SecIdentityRef)tempIdentity;
      }
      if (options) {
      CFRelease(options);
      }
      return securityError;
      }
      					
      
					本頁內容由塔燈網絡科技有限公司通過網絡收集編輯所得,所有資料僅供用戶學習參考,本站不擁有所有權,如您認為本網頁中由涉嫌抄襲的內容,請及時與我們聯系,并提供相關證據,工作人員會在5工作日內聯系您,一經查實,本站立刻刪除侵權內容。本文鏈接:http://www.webpost.com.cn/20389.html					
      
				
      


				
					

				
					
				
			
      



			
			
      
				
      
								
       
      
				
      相關開發語言
      
				
			   
      

		    
      

			
      

		
      
		
		
		
		
		

	
      
	
	
	

      



      
	
      
		
      
			
      
			 八年 
			行業經驗
			
      
			
      
				
      多一份參考,總有益處
      
				
      聯系深圳網站公司塔燈網絡,免費獲得網站建設方案及報價
      
				
      
					
      咨詢相關問題或預約面談,可以通過以下方式與我們聯系
      
					
      業務熱線:余經理:13699882642
					
      
				
      
			
      
		
      
		
	
      

      

	


      

      

      

      Copyright ? 2013-2018 Tadeng NetWork Technology Co., LTD. All Rights Reserved.    


      

      



      

      




      
	
        
		
      • QQ咨詢
        • 
		
      • 在線咨詢
        • 
		
      • 官方微信
        • 
		
      • 聯系電話
			
        
				
        座機0755-29185426
        
				
        手機13699882642
        
			
        
		
        • 
		
      • 預約上門
        • 
		
      • 返回頂部
        • 
	
      

      






 



	
	



 

国产成人精品综合在线观看