一般來講如果app用了web service , 我們需要防止數據嗅探來保證數據安全.通常的做法是用ssl來連接以防止數據抓包和嗅探
其實這么做的話還是不夠的 。 我們還需要防止中間人攻擊(不明白的自己去百度)。攻擊者通過偽造的ssl證書使app連接到了偽裝的假冒的服務器上,這是個嚴重的問題!那么如何防止中間人攻擊呢?
首先web服務器必須提供一個ssl證書,需要一個 .crt 文件,然后設置app只能連接有效ssl證書的服務器。
在開始寫代碼前,先要把 .crt 文件轉成 .cer 文件,然后在加到xcode 里面
?.crt 文件轉成 .cer 文件
1.使用openssl 進行轉換
openssl x509 -in 你的證書.crt -out 你的證書.cer -outform der
2.通過安裝crt文件,電腦導出
1)先打開“鑰匙串訪問”
2)選中你安裝的crt文件證書,選擇“文件”--》“導出項目”
?
3)選擇.cer證書,存儲即可。
AFNetworking 對數據進行https ssl加密
實際上,很簡單,只需要兩步。
第一步:新增一個類
+ (AFSecurityPolicy*)customSecurityPolicy{?? // /先導入證書??? NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"hgcang" ofType:@"cer"];//證書的路徑?? NSData *certData = [NSData dataWithContentsOfFile:cerPath];?????? // AFSSLPinningModeCertificate 使用證書驗證模式??? AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];??????? // allowInvalidCertificates 是否允許無效證書(也就是自建的證書),默認為NO?? // 如果是需要驗證自建證書,需要設置為YES??? securityPolicy.allowInvalidCertificates = YES;??????? ?//validatesDomainName 是否需要驗證域名,默認為YES;??? ?//假如證書的域名與你請求的域名不一致,需把該項設置為NO;如設成NO的話,即服務器使用其他可信任機構頒發的證書,也可以建立連接,這個非常危險,建議打開。??? ?//置為NO,主要用于這種情況:客戶端請求的是子域名,而證書上的是另外一個域名。因為SSL證書上的域名是獨立的,假如證書上注冊的域名是www.google.com,那么mail.google.com是無法驗證通過的;當然,有錢可以注冊通配符的域名*.google.com,但這個還是比較貴的。??? ?//如置為NO,建議自己添加對應域名的校驗邏輯。?? securityPolicy.validatesDomainName = NO;?? securityPolicy.pinnedCertificates = @[certData];??????? ?return securityPolicy; }
第二步:直接在請求方法里加入,只有一行代碼
+ (void)post:(NSString *)url params:(NSDictionary *)params success:(void (^)(id))success failure:(void (^)(NSError *))failure{?? // 1.獲得請求管理者??? AFHTTPRequestOperationManager *mgr = [AFHTTPRequestOperationManager manager];??? ?// 2.申明返回的結果是text/html類型??? mgr.responseSerializer = [AFHTTPResponseSerializer serializer];?????? // 加上這行代碼,https ssl 驗證。??? ?//[mgr setSecurityPolicy:[self customSecurityPolicy]];?????? // 3.發送POST請求?? [mgr POST:url parameters:params????? success:^(AFHTTPRequestOperation *operation, id responseObj) {????? ?if (success) {??? ????????? success(responseObj);?? ?????? }?? ?? } failure:^(AFHTTPRequestOperation *operation, NSError *error) { ????????? if (failure) {????????????? failure(error);?? ?????? }?? ?? }];}
接下來,我們通過Charles抓取數據,抓到的數據已經加密。
可能遇到的問題
1)證書一定要拉到項目里面,AFN加了驗證之后,看看獲取證書的certData是否為空。如果為空,則證書有問題
NSData *certData = [NSData dataWithContentsOfFile:cerPath];
2.如果https服務器沒有數據返回,很大可能是因為服務器配置出了問題。
?
附Demo:?http://download.csdn.net/detail/jys1216/9412638
demo里的cer文件,我是在AFN里找的,certData是有數據的。
?
參考文章
iOS安全系列之一:HTTPS ?:http://oncenote.com/2014/10/21/Security-1-HTTPS/??
轉載于:https://www.cnblogs.com/yangqinglong/p/5543363.html
)
的有用性有限)
