iOS 原生库对 https 的处理

swift 发布于 2017年09月23日
使用 NSURLSession

NSURLSession 是 iOS 原生提供的网络处理库。它提供了丰富的接口以及配置选项,满足我们平时网络处理的大部分需求,同时它也支持 https。关于 NSURLSession 的基本内容,可以参看之前的这篇文章:

NSURLSession 网络库

这次我们主要介绍使用 NSURLSession 对 https 的处理,关于 https 的基本原理,大家可以参看这里:

Https 与 iOS 信息安全

好了,准备知识都了解了之后,我们就可以开始了。

NSURLSession 默认是支持 https 处理的, 包括证书验证, https 握手等操作, 都已经帮我们处理过了, 举个例子:

if let url = NSURL(string: "https://httpbin.org/get") {

    NSURLSession.sharedSession().dataTaskWithURL(url) { data, response, error in

        print("%@",NSString(data: data!, encoding: NSUTF8StringEncoding))
        //成功输出

    }.resume()

}

这里我们用 https 协议访问了一个地址。 就像访问普通的 http 地址一样, NSURLSession 的回调中成功的输出了返回的数据,我们完全没有进行任何的额外处理,就已经可以访问 https 地址了。

是的,这种情况对于服务器的证书正确的情况下,是没问题的。因为 NSURLSession 的内部处理机制中已经预置了可信任的根证书的。只要你访问的地址使用的 SSL证书,是用这些跟证书机构授权的,就不会有问题。

但还存在这样一种情况,就是如果你访问的地址所使用的证书,不是这些颁发机构授权的, 而是它们自己生成的(这也叫自签名证书), 问题就出现了。比如我们再用同样的 API 访问另一个地址:

if let url = NSURL(string: "https://www.pcwebshop.co.uk") {

    NSURLSession.sharedSession().dataTaskWithURL(url) { data, response, error in

        //... 

    }.resume()

}

如果执行这段代码的话,你会在控制台中收到这样一个错误:

NSURLSession/NSURLConnection HTTP load failed (kCFStreamErrorDomainSSL, -9802)

很明显,SSL 证书验证失败了,并且这个时候 dataTaskWithURL 方法的回调闭包中,不会返回任何数据。 所以我们在设计客户端使用 https 协议进行交互的时候,虽然大部分逻辑 iOS 原生库都已经帮我们处理好了,但这种证书验证失败的情况还是需要大家注意一下的。

其实 iOS 默认的这种实现也是有一定道理的,证书验证失败的站点,从原则上来说是不可信,不安全的。 所以原生库在默认情况下拒绝这样的链接也是正确的。

自定义证书验证行为

我们平常使用的大多数浏览器也是有这样的逻辑的,如果发现证书验证失败,就会给用户提示一个警告,让用户选择是否要继续访问。 iOS 原生库的通用原则是拒绝一切未经验证的证书, 这种行为可以很好的保证用户的安全。

但是,我们有一些自己特定的需求怎么办呢, 比如我们自己的 app 接口使用的是 https 方位我们自己的服务器, 但我们自己的服务器使用的是自签名证书, 如果按照默认行为的话, 尽管我们自己确信这个自签名证书是安全的,接口的访问也永远不会成功。 因为它不在 iOS 原生库的信任列表中。

这时候,我们就需要更深入的处理证书验证的细节了, NSURLSession 也给我们提供了相应的 API。 要在这些 API 中加入我们自己的验证逻辑,我们需要实现 NSURLSessionDelegate 的 didReceiveChallenge 方法:

func URLSession(session: NSURLSession, didReceiveChallenge challenge: NSURLAuthenticationChallenge, completionHandler: (NSURLSessionAuthChallengeDisposition, NSURLCredential?) -> Void) {

    if challenge.protectionSpace.authenticationMethod == NSURLAuthenticationMethodServerTrust {

        let credential = NSURLCredential(forTrust: challenge.protectionSpace.serverTrust!)
        completionHandler(NSURLSessionAuthChallengeDisposition.UseCredential, credential)

    }

}

didReceiveChallenge 方法中,首先通过 authenticationMethod 属性检测服务端的验证方式, 只有是 NSURLAuthenticationMethodServerTrust 的时候我们才进行处理。 NSURLAuthenticationMethodServerTrust 代表的就是 https 验证。

再看一下 if 分支里面的处理, NSURLCredential(forTrust: challenge.protectionSpace.serverTrust!) 这里创建了一个授信,告诉系统服务器返回的这个证书是可信的。这样这个自签名的证书也能获得通过了。

再次运行程序,就可以看到这个自签名的地址能够正常访问了。

如果你是 iOS 9 以上的系统,还要记得修改一下 Info.plist 里面的 App Transport Security Settings 设置,在里面加上这一段即可:


<key>NSAppTransportSecurity</key>
<dict>
    <key>NSAllowsArbitraryLoads</key>
    <true/>
</dict>

否则,这种请求也会被 iOS 的全局设置阻拦的。


如果你觉得这篇文章有帮助,还可以关注微信公众号 swift-cafe,会有更多我的原创内容分享给你~

本站文章均为原创内容,如需转载请注明出处,谢谢。
关注微信公众号
发现更多精彩
swift-cafe