2. 程式人生 > >通過Authentication Challenge來信任自簽名Https證書

通過Authentication Challenge來信任自簽名Https證書

阿新 發佈:2017-11-09
就會 ace 中一 rust 進行 tostring 網絡相關 alt policy

在開發階段我們我們經常使用自簽名的證書來部署我們的後臺rest api。但是在iOS中調用的時候就會因為證書不被信任而調用api不成功。這時候我們就需要通過實現某些網絡回調函數來自定義證書的驗證邏輯。(在iOS中一般通過UrlSession(OC中是NSUrlSession)來進行網絡通信,這裏以UrlSession為例)。首先我們需要了解幾個概念。

Challenge     

Challenge是計算機安全中的專業術語。字面意思質詢。就是為了驗證用戶身份,向訪問者發送一個質詢,然後訪問者需要提供一個正確的回答以示身份。最簡單的就是我們訪問一個需要授權的網站,網站後臺會通過HTTP協議想瀏覽器發送一個質詢,要求用戶輸入用戶名密碼。(瀏覽器會彈出一個對話框供用戶輸入)

在iOS的網絡相關庫中,提供了如下幾個類來描述Challenge的過程中的抽象實體。

URLProtectionSpace

這個表示服務器上的一塊受保護的區域,訪問這一塊需要進行質詢。他有如下常用屬性:

// realm是ProtectionSpace的標示符,服務器上的一組資源通過realm來標示成一組采用相同驗證方式的資源(ProtectionSpace)。
@property (nullable, readonly, copy) NSString *realm;
// 資源所在的服務器
@property (readonly, copy) NSString *host;

 
// 資源所在服務器端口
@property (readonly) NSInteger port;
//獲取資源的協議資源
@property (nullable, readonly, copy) NSString *protocol;
// 質詢所采用驗證方式
@property (readonly, copy) NSString *authenticationMethod;

質詢驗證方式有如下幾種是常用的:

NSURLAuthenticationMethodHTTPBasic //HTTP基本驗證,服務器向客戶端詢問用戶名,密碼

NSURLAuthenticationMethodClientCertificate//客戶端證書驗證,服務器向客戶端詢客戶端身份證書

NSURLAuthenticationMethodServerTrust//服務器端證書驗證,客戶端對服務器端的證書進行驗證。HTTPS中的服務器端證書驗證屬於這一種。

URLAuthenticationChallenge

這就是服務器端對客戶端的一次質詢的描述了。它有如下常用屬性:

//該質詢所對應的ProtectionSpace
@property (readonly, copy) NSURLProtectionSpace *protectionSpace;

//表示該質詢的發送方
@property (nullable, readonly, retain) id<NSURLAuthenticationChallengeSender> sender;

UrlCredential       

他是客戶端對服務器端質詢的響應。根據驗證方式不一樣,有如下幾種UrlCredential:

  • 基於用戶名密碼的UrlCredential
  • 基於客戶端證書的UrlCredential
  • 基於服務器端證書的UrlCredential //就是我們這裏驗證服務器端的證書要用到的

它們分別對應於UrlCredential的三種構造方式。詳情參考Apple開發文檔

SecTrust         

他是iOS中對證書和Accept Policy的包裝。系統對後臺證書驗證實際上是對該對象的驗證。詳情建Apple開發文檔

好了,到這裏所有的概念性的東西都說完了。最後就是要把這些概念全部組合到UrlSession的一個回調方法中來自行驗證證書。代碼如下:

//這是NSUrlSessionDelegate總定義的函數,因此先需要設置NSUrlSession對象的delegate,然後再delegate對象中實現該方法
- (void)URLSession:(NSURLSession *)session didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge
 completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition disposition, NSURLCredential *credential))completionHandler
{
  //這裏檢查質詢的驗證方式是否是服務器端證書驗證
    if([challenge.protectionSpace.authenticationMethod isEqualToString: NSURLAuthenticationMethodServerTrust])
    {
     //這裏直接把證書包裝對象拿到,
        SecTrustRef trustRef = [challenge.protectionSpace serverTrust];
     // 使用證書SecTrust對象來構造URLCredential,系統默認實現這裏應該是要對SecTrust進行驗證,而此處我們的目的就是要信任所有證書。因此跳過驗證這一步。
        id trustCredential = [NSURLCredential credentialForTrust:trustRef];
     //通過回調函數告訴系統對於該質詢的UrlCredential.
        completionHandler(NSURLSessionAuthChallengeUseCredential, trustCredential);
    } else {
        completionHandler(NSURLSessionAuthChallengePerformDefaultHandling, nil);
    }
}

通過Authentication Challenge來信任自簽名Https證書

相關推薦

通過Authentication Challenge信任簽名Https證書

就會 ace 中一 rust 進行 tostring 網絡相關 alt policy 在開發階段我們我們經常使用自簽名的證書來部署我們的後臺rest api。但是在iOS中調用的時候就會因為證書不被信任而調用api不成功。這時候我們就需要通過實現某些網絡回調函數來自定義證書

Tomcat配置簽名https

從JDK中找到keytool.exe,隨便複製到一個方便的目錄,在命令列中進入這個目錄。 第一步:為伺服器生成證書 tomcat.keystore,名字就是域名,其他的看著寫。 keytool -genkey -v -alias tomcat -keyalg R

Android HTTPS如何10分鐘實現簽名SSL證書

前言 去年公司內一個應用加了支付寶支付功能,為了保證安全,支付請求連結寫成了https。 由於公司伺服器使用的是的自簽名證書,而在Android系統中自己簽署的不能通過驗證的,所以會丟擲錯誤。 於是我網上查找了很多資料,也嘗試過幾種方法,過程都很繁瑣,搞了一通宵都不行。 幸

HTTPS(一)簽名https

1、準備一個空白的CentOS 檢視系統版本 $ su # cat /etc/redhat-release CentOS Linux release 7.4.1708 (Core)  2、安裝RoR環境 參照《CentOS 7 快速安裝RoR環境 》 安裝結果:

基於HttpClient 4.3的可訪問簽名HTTPS站點的新版工具類

本文出處:http://blog.csdn.net/chaijunkun/article/details/40145685,轉載請註明。由於本人不定期會整理相關博文,會對相應內容作出完善。因此強烈建議在原始出處檢視此文。HttpClient在當今Java應用中的位置越來越重要

nodejs開發——express配置簽名https伺服器

       在nodejs中使用express來搭建框架可以說是非常的簡單方便,但是一般預設建立的都是http伺服器,也就是隻能通過http協議進行訪問。如今https已經是發展趨勢,我們應該順應時代的潮流。在本篇文章中,我們將會來使用自簽名的方式建立證書,然後使用expr

【倒騰HTTPS】Nginx for Docker簽名SSL證書

前言          合格的web程式設計師, 必須能自由在 IIS、 Nginx、 Nginx for Docker上配置Https服務, 部落格最近將專題記錄 Https  &   Hsts

asp.net web api 使用簽名SSL證書

過程 位置 ora 返回 source 服務器 點擊 分享 projects 1自簽名SSL證書的創建 創建自簽名SSL工具xca為:https://sourceforge.net/projects/xca/ 創建過程 1)創建根證書 打開軟件,界面如下

使用微軟makecert.exe 生成一個簽名證書

準備工具:makecert.zip 工具在壓縮包裡 準備命令:makecert -r -pe -n "CN=這裡寫證書名稱" -b 01/01/2000 -e 01/01/2036 -eku 1.3.6.1.5.5.7.3.1 -ss my -sr localMachine

Android下OkHttp請求定義HTTPS證書介面設定

在請求安全性高的介面時,我們可能會使用到HTTPS介面,HTTPS可以理解為HTTP+TLS,關於HTTPS具體是怎麼工作的,可以看這篇文章:http://gold.xitu.io/entry/56ef

spring boot 簽發https證書

一、使用Jdk自帶的工具生成數字證書,如下:   Java程式碼   ./keytool -genkey -v -alias tomcat -keyalg RSA -keystore /root/tomcat.keystore -validity 36500 &

如何在Ubuntu 16.04中為Apache建立一套簽名SSL證書

內容介紹 TLS,全稱為傳輸層安全,及其前身SSL,全稱為安全巢狀層,都屬於將普通流量打包為受保護加密封裝的Web協議。 使用這項技術,伺服器能夠在伺服器與客戶間安裝傳輸資料,而無需擔心訊息為外部所截獲。其證書系統還能夠幫助使用者核實其所連線站點的身份。

Windows系統下建立簽名ssl證書

這篇博文中主要講述如何在windows系統中建立本地SSL證書。 1.環境準備 1.1 系統環境:windows xp及以上 1.2 軟體環境:openssl-0.9.8k_WIN32 下載地址1: 七牛雲端儲存 下載地址2: 百度雲

linux下新增簽名證書的指令碼

#!/bin/sh usage() { ex="${1:-0}" echo "Usage: $0 <host> [<port>]" echo "\n\tPort will be set to 443 by default

linux系統簽發免費ssl證書,為nginx生成簽名ssl證書

optional signature dir linux call 系統 quit 手動 intern 安裝nginx可參考:nginx重新編譯支持ssl可參考:接下來手動配置ssl證書:自己手動頒發證書的話,那麽https是不被瀏覽器認可的,就是https上面會有一個大紅

用openssl為WEB服務器生成證書簽名CA證書,服務器證書

cat get web con 中文 ssg cer eap rand 用openssl為WEB服務器生成證書(自簽名CA證書,服務器證書) 來源: https://www.cnblogs.com/osnosn/p/10608455.html 來自osnosn的博客 寫於:

iOS開發HTTPS實現之信任SSL證書簽名證書

                                          &nb

簽名https證書是不安全的

算法 -s tro 手動 ssl證書 為什麽 必須 無法獲得 報錯 一、項目內的需求 我們做的app都是企業級的應用,而企業級的應用的下載需要遵循itms協議,itms協議下需要https鏈接,這就需要你的服務器支持https的協議,該協議需要申請SSL證書,我們測試時用的

解決linux netcore https請求使用簽名證書忽略安全檢查方法

mva supported support ali figure -s issue 大致 iss 當前系統環境:centos7 x64. dotnet 2.0. 不管是 ServicePointManager.ServerCertificateValidationCallb

https CA簽名證書,並給Webserver頒發證書

extension there form nal 3.2 vim city append cor **CA主機執行命令** [root@centos7 ~]# cd /etc/pki/CA [root@centos7 CA]# touch index.txt [root@c