iOS实用技巧 - AFNetworking2安全的使用自签证书访问HTTPS

最新推荐文章于 2025-03-01 22:35:52 发布
最新推荐文章于 2025-03-01 22:35:52 发布
阅读量802 收藏
点赞数
分类专栏: iOS开发过程中遇到的问题 文章标签: ios
本文介绍如何在iOS应用中使用自签证书访问HTTPS站点,包括绕过CA证书验证的方法、验证服务器唯一性的步骤及针对无域名绑定服务器的解决方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

使用HTTPS有个问题,就是CA证书。缺省情况下,iOS要求连接的HTTPS站点必须为CA签名过的合法证书,AFNetworking是个iOS上常用的HTTP访问库,由于它是基于iOS的HTTP网络通讯库,自然证书方面的要求和系统是一致的,也就是你需要有一张合法的站点证书。

  正式的CA证书非常昂贵,很多人都知道,AFNetworking2只要通过下面的代码,你就可以使用自签证书来访问HTTPS

?
1
2
     AFSecurityPolicy *securityPolicy = [AFSecurityPolicy defaultPolicy];
     securityPolicy.allowInvalidCertificates = YES;

  这么做有个问题,就是你无法验证证书是否是你的服务器后端的证书,给中间人攻击,即通过重定向路由来分析伪造你的服务器端打开了大门。

  解决方法。AFNetworking2是允许内嵌证书的,通过内嵌证书,AFNetworking2就通过比对服务器端证书、内嵌的证书、站点域名是否一致来验证连接的服务器是否正确。由于CA证书验证是通过站点域名进行验证的,如果你的服务器后端有绑定的域名,这是最方便的。将你的服务器端证书,如果是pem格式的,用下面的命令转成cer格式

?
1
openssl x509 - in  <你的服务器证书>.pem -outform der -out server.cer

然后将生成的server.cer文件,如果有自建ca,再加上ca的cer格式证书,引入到app的bundle里,AFNetworking2在

?
1
2
3
4
AFSecurityPolicy *securityPolicy = [AFSecurityPolicy AFSSLPinningModeCertificate];
或者
AFSecurityPolicy *securityPolicy = [AFSecurityPolicy AFSSLPinningModePublicKey];
securityPolicy.allowInvalidCertificates = YES;  //还是必须设成YES

情况下,会自动扫描bundle中.cer的文件,并引入,这样就可以通过自签证书来验证服务器唯一性了。


  我前面说过,验证站点证书,是通过域名的,如果服务器端站点没有绑定域名(万恶的备案),仅靠IP地址上面的方法是绝对不行的。怎么办?答案是想通过设置是不可以的,你只能修改AFNetworking2的源代码!打开AFSecurityPolicy.m文件,找到方法:

?
1
2
- ( BOOL )evaluateServerTrust:(SecTrustRef)serverTrust
                   forDomain:(NSString *)domain

将下面这部分注释掉

?
1
2
3
4
5
6
7
8
9
//            SecTrustSetAnchorCertificates(serverTrust, (__bridge CFArrayRef)pinnedCertificates);
//
//            if (!AFServerTrustIsValid(serverTrust)) {
//                return NO;
//            }
//
//            if (!self.validatesCertificateChain) {
//                return YES;
//            }

这样,AFSecurityPolicy就只会比对服务器证书和内嵌证书是否一致,不会再验证证书是否和站点域名一致了。

  这么做为什么是安全的?了解HTTPS的人都知道,整个验证体系中,最核心的实际上是服务器的私钥。私钥永远,永远也不会离开服务器,或者以任何形式向外传输。私钥和公钥是配对的,如果事先在客户端预留了公钥,只要服务器端的公钥和预留的公钥一致,实际上就已经可以排除中间人攻击了。

iOS之深入解析AFNetworking的底层原理
╰つ栺尖篴夢ゞ
09-04 9060
这里写目录标题AFNetworking简介一、AFNetworking 版本二、AFNetworking 构成模块解析一、AFURLSessionManager① 创建sessionManager②③整体流程① 创建 NSMutableRequest 对象② 用 NSMutableRequest 对象创建 NSURLSessionDataTask 对象 AFNetworking简介 一、AFNetworking 版本 AFNetworkingiOS 最常用的网络框架,虽然系统也有 NSURLSessi
AFNetworking小技能:正确使用connection的RunloopMode
专注于计算机研发知识和资讯分享
08-31 1万+
AFNetworking最核心的类 AFSecurityPolicy:验证HTTPS请求的证书 https://blog.youkuaiyun.com/z929118967/article/details/77115940正确使用connection的RunloopMode 主线程的 RunLoop 里有两个预置的 Mode:kCFRunLoopDefaultMode 和 UITrackingRunLoopMode。这两个 Mode 都已经被标记为”Common”属性;这样任务会被 RunLoop 自动更新到所有具有”
iOS 的三种自建证书方法https请求相关配置
04-16 2371
如果你的app服务端安装的是SLL颁发的CA,可以使用系统方法直接实现信任SSL证书,关于Apple对SSL证书的要求请参考:苹果官方文档CertKeyTrustProgGuide 这种方式不需要在Bundle中引入CA文件,可以交给系统去判断服务器端的证书是不是SSL证书,验证过程也不需要我们去具体实现。 第1种 #import “ViewController.h” #import “HttpM..................
iOSAFNetworking3.x使用自签名证书建立https连接
王者归来之英雄有梦
12-13 1995
配置前准备cer证书文件 AFNetworking3 导入工程啥的也就不说了下面开始干正经事导入文件到项目 为站点添加白名单 添加主要代码-(void)postToWeb{ AFHTTPSessionManager *manager = [AFHTTPSessionManager manager]; manager.responseSerializer = [AFHTTPRespon
iOS 迁移到HTTPS(自建证书+单向验证+AF3.0+WKWebView+SDWebImage)
zhaojinqiang12的博客
12-16 4014
写在前面的提醒   ① 还没到2017,苹果还没确切的说明对HTTPS的要求,所以目前还不确定自建证书到底可不可以通过审核。   ② 网上很多人说自建证书必须禁掉ATS才能正常访问(App Transport Security Settings -> Allow Arbitrary Loads -> YES),但是在我的项目中没有禁掉ATS自建证书是可以正常使用的,欢迎大家讨论原因。
ios https访问自建证书时遇到的问题
u012673976的博客
12-07 2250
网上找到方法把证书加到bundle reosource里面: 然后使用下面的代码验证证书- (BOOL)connection:(NSURLConnection *)connection canAuthenticateAgainstProtectionSpace:(NSURLProtectionSpace *)protectionSpace { return [protec
iOS AFNetWorking HTTPS自签名证书请求
走路带风
01-22 1000
首先后台会给你2证书,一个是client.p12 ,另一个ca.cer,一般p12会包括.cer的信任,所以,我们只需导入p12到我们的项目中。 下面开始上代码,AFNetWorking 3.0,请求方式:Get - (void)sendGetWithUrl:(NSString *)url callbackBlock:(void(^)(NSDictionary *
iOS应用静态分析与二进制检查技术详解
最新发布
一个自学不成材的程序员
03-01 1095
import osimport re# 提取Info.plist信息/usr/bin/env python3 # iOS App Static Analyzer import subprocess import os import re import argparse def extract_info_plist(app_path) : # 提取Info.plist信息 result = subprocess . run([ 'plutil' , '-p' , f' {
iOS知识点,iOS开发笔记
u014616159的博客
09-06 2627
前言:iOS开发之路笔记,iOS知识点总结,在ios开发路上查阅的资料,都是开发时候一点一点积累的笔记,希望能帮到大家,喜欢的记得点个❤️哦。 启动页相关 iOS启动时如何添加引导页面 小demo - 于丹丹 no zuo no die no life - 博客频道 - youkuaiyun.com http://blog.youkuaiyun.com/yudandan10/article/details/42...
iOS面试题大全(附带答案)
IOSNF的博客
07-31 2105
C语言相关面试题 1.static有什么用途? 答案:在C语言中,static主要定义全局静态变量,定义局部静态变量,定义静态函数。 static 属于静态变量,使用它修饰的变量生命周期是整个源程序。 @1.在函数体内的 static 变量的作用范围为该函数体,该变量的内存只被分配一次,因此其值在下次调用时仍维持上次的值; @2.在模块内的 static 全局变量可以被模块内所有函数访问,但不能被模块外其它函数访问; @3.在模块内的 static 函数只被这一模块内的其它函数调用,这个函数的使用范围被限
iOS开发HTTPS实现之信任SSL证书和自签名证书
weixin_30568715的博客
11-17 782
iOS开发HTTPS实现之信任SSL证书和自签名证书 转自:http://www.jianshu.com/p/6b9c8bd5005a/comments/5539345 (收录一下供自己学习用的) 字数1566 阅读5025 评论76 喜欢30 首先来分析一下什么是HTTPS以及了解HTTPS对于iOS开发者的意义 HTTPS 以及SSL/TSL 什么是SSL? ...
AFNetworking之于https认证
gcs的博客
01-07 932
是服务器传过来的,里面包含了服务器的证书信息,是用来我们本地客户端去验证该证书是否合法用的,后面会更详细的去讲这个参数)然后如果有证书,则用证书认证方式,否则还是用默认的验证方式。再讲简单点,其实就是一个容器,装了服务器端需要验证的证书的基本信息、公钥等等,不仅如此,它还可以装一些评估策略,还有客户端的锚点证书,这个客户端的证书,可以用来和服务端的证书去匹配验证的。唯一需要注意的是,这个获取的证书排序,是从证书链的叶节点,到根节点的。客户端用之前生成的私钥解密服务段传过来的信息,于是获取了解密后的内容。
iOS里加载https请求报错说服务器证书无效的解决办法
热门推荐
辣条的博客
02-24 1万+
由于项目是h5加原生界面一起实现,里面有两个部分遇到要https的请求 1.用webview进行https的请求 解决办法一: 加上如上代码,再在创建webview的地方加上 [NSURLRequest allowsAnyHTTPSCertificateForHost:@”这个地方是一个URL”]; 这里使用苹果私有的API,使用这些代码将会导致应用无法上架。解决办
某些app无法抓包问题
chilly
12-30 1万+
1.首先确认其他app包是否能够正常抓取,如果其他app能过正常抓包,请继续往下看。 2.回顾一下手机抓包的流程,手机抓包是需要手机使用fiddle,charles,mitmproxy,packageCapture这些作为代理的. app不能抓包的原因之一就是http客户端(也就是不能抓包的app)在检测使用了系统代理的时候,可以不使用系统代理,也就是请求不经过代理,自然而然你就在抓包工具上看...
ios自己搭建服务器证书,iOS一步一步实现Https自建证书校验
weixin_42462382的博客
07-31 993
oooO ↘┏━┓ ↙ Oooo( 踩)→┃你┃ ←(死 )\ ( →┃√┃ ← ) /_)↗┗━┛ ↖(_/我觉得httpsiOS开发者要踩的最大的一个坑了,每每看他人写的博客都是只讲理论贴代码,却没有一篇是教你一步一步实现,是不是很头大呢。今天来一步一步实现https的正确验证,后面再讲不正确的验证。步骤:1.生成私钥 > 生成签名 > 生成证书(服务器端) > 生成证书(...
关于面向Android7.0及以上系统的应用无法通过charles抓包
joye123的博客
08-01 6643
关于面向Android7.0及以上系统的应用无法通过charles抓包 默认情况下,来自所有应用的安全连接(使用TLS和HTTPS之类的协议)均信任预装的系统CA,而面向6.0及以下系统版本的应用默认情况下还会信任用户添加的CA证书。如果我们将targetSdkVersion修改到24以上的时候,应用则不会信任用户安装的证书了。 详细说明见官方文档。 这时,当我们通过charles或其他抓包...
AFNetworking源码解读之AFSecurityPolicy模块中的Https验证
Deft_MKJing的博客
12-01 1301
Https简单介绍可以简单理解为在http的基础上加了证书的认证过程,网上很多Https的介绍以及单向双向认证介绍,这里简单的以单向认证为例 第一阶段:ClientHello客户端发起请求,以明文传输请求信息,包含版本信息,加密套件候选列表,压缩算法候选列表,随机数random_C,扩展字段等信息。第二阶段:ServerHello-ServerHelloDone如上图可以看出这个阶段包含4个过程(
AFNetworking解析(四)
此生长安的博客
07-19 3681
本文主要介绍和探索AFNetworking和后台服务器的交互,以及挑战认证部分:挑战认证关于挑战认证的详细解释: 1、这个是由于http和https的区别引起的,HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全2HTTPS是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS安全基础是SSL,因此加密
allowInvalidCertificates
AndYouAndMe的专栏
07-27 1587
allowInvalidCertificates //发送请求     AFSecurityPolicy *securityPolicy = [AFSecurityPolicy defaultPolicy];     securityPolicy.allowInvalidCertificates = YES;          operation.
CFHipsterRef:深入探索iOS与Mac OS X底层编程
- Clang是Apple的C、C++和Objective-C编译器,章节涵盖了其特性、优化和使用技巧,帮助开发者更好地理解和定制编译过程。 4. **OSAtomic** - 介绍了一组原子操作API,用于在多线程环境中实现线程安全的数据访问,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值