歡迎您光臨深圳塔燈網(wǎng)絡(luò)科技有限公司!
余先生:13699882642
余先生:13699882642
8年
專注物流供應(yīng)鏈系統(tǒng)
余先生:13699882642
為您解碼網(wǎng)站建設(shè)的點(diǎn)點(diǎn)滴滴
發(fā)表日期:2017-03 文章編輯:小燈 瀏覽次數(shù):2580
一、http和https的區(qū)別
引用度娘的一段話
HTTPS和HTTP的區(qū)別
超文本傳輸協(xié)議HTTP協(xié)議被用于在Web瀏覽器和網(wǎng)站服務(wù)器之間傳遞信息。HTTP協(xié)議以明文方式發(fā)送內(nèi)容,不提供任何方式的數(shù)據(jù)加密,如果攻擊者截取了Web瀏覽器和網(wǎng)站服務(wù)器之間的傳輸報(bào)文,就可以直接讀懂其中的信息,因此HTTP協(xié)議不適合傳輸一些敏感信息,比如信用卡號(hào)、密碼等。
為了解決HTTP協(xié)議的這一缺陷,需要使用另一種協(xié)議:安全套接字層超文本傳輸協(xié)議HTTPS。為了數(shù)據(jù)傳輸?shù)陌踩琀TTPS在HTTP的基礎(chǔ)上加入了SSL協(xié)議,SSL依靠證書來驗(yàn)證服務(wù)器的身份,并為瀏覽器和服務(wù)器之間的通信加密。
HTTPS和HTTP的區(qū)別主要為以下四點(diǎn):
一、https協(xié)議需要到ca申請(qǐng)證書,一般免費(fèi)證書很少,需要交費(fèi)。
二、http是超文本傳輸協(xié)議,信息是明文傳輸,https 則是具有安全性的ssl加密傳輸協(xié)議。
三、http和https使用的是完全不同的連接方式,用的端口也不一樣,前者是80,后者是443。
四、http的連接很簡單,是無狀態(tài)的;HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議,比http協(xié)議安全。(引自度娘)
上面的那一坨總結(jié)出來就是,http數(shù)據(jù)為明文傳輸,被攔截后就直接明文可以看到數(shù)據(jù);而https數(shù)據(jù)為加密傳輸,即使被攔截到了,那也是亂碼。當(dāng)然,這里應(yīng)該有抓包過https的小伙伴表示不服,這個(gè)下面會(huì)說到的。
因?yàn)榧由狭诉@一ssl層,所以https在整個(gè)傳輸過程中,大部分時(shí)間都是消耗在了ssl的認(rèn)證、加密中,所以相比于http,速度還是會(huì)慢一點(diǎn)的,所以上面說視頻流媒體的app可以不用強(qiáng)制https,因?yàn)樘臅r(shí)間了。。。
二、https之服務(wù)器簡單聊一聊
因?yàn)楸救瞬⒉皇欠?wù)器開發(fā),所以這個(gè)服務(wù)器這方面就提一下。
要想從http升級(jí)成https,那得先服務(wù)器認(rèn)證。
就是要證明你這個(gè)服務(wù)器,是你所聲明的服務(wù)器。沒錯(cuò),就像天朝的要證明你是你自己,你證明你媽是你嗎。。。表示心疼需要證明的小伙伴。。。。
那怎么證明你媽是你媽,呸。。。不是,是證明你的服務(wù)器,就是你所聲明的服務(wù)器那?你說你是百度,我還說我是那!!
所以,這里就涉及到了一個(gè)權(quán)威的機(jī)構(gòu)登場CA (Certificate Authority)!!!
采用https的服務(wù)器必須從CA (Certificate Authority)申請(qǐng)一個(gè)用于證明服務(wù)器用途類型的證書。該證書只有用于對(duì)應(yīng)的服務(wù)器的時(shí)候,客戶端才信任此主機(jī)。(一般這種證書都是要花錢的買的。。。。)
舉個(gè)栗子
你用瀏覽器訪問一些網(wǎng)站的時(shí)候,瀏覽器會(huì)自動(dòng)驗(yàn)證網(wǎng)站的證書,如果證書不是CA簽發(fā)的,那么瀏覽器會(huì)提示提示你,此網(wǎng)站的證書無效(因?yàn)椴皇侵付ǖ臋C(jī)構(gòu)簽發(fā)的,有可能是自己簽發(fā)的),如下圖
當(dāng)不是正規(guī)機(jī)構(gòu)簽發(fā)的證書
有木有人看著眼熟,對(duì),你登錄12306的時(shí)候,有木有!!
堂堂大鐵路局的12306證書竟然不是正規(guī)機(jī)構(gòu)簽發(fā)的!!要知道瀏覽器連草榴都信任,說明草榴的證書都是正規(guī)買的,12306竟然后還是自己簽發(fā)的。。。就差這點(diǎn)錢么?
如果服務(wù)器買好了證書的話,因?yàn)橐咸O果的ATS政策
·服務(wù)器所有的連接使用TLS1.2以上版本
·HTTPS證書必須使用SHA256以上哈希算法簽名
·HTTPS證書必須使用RSA 2048位或ECC 256位以上公鑰算法
還有證書還要是符合蘋果認(rèn)同的,最近沃通的證書好像就快到期了,所以是沃通簽發(fā)的趕緊去重新買。
配置完的可以用這個(gè)來查看是否符合蘋果的要求,傳送門SSL證書 - 騰訊云
三、https流程
其實(shí)百度https,上面就有https的流程(我是傳送門https_百度百科),所以這里簡單的說下,其中的各種算法、參數(shù)的交換在下面的步驟就不細(xì)說了,請(qǐng)自行傳送門。
這里分https的單向認(rèn)證和雙向認(rèn)證(單向還是雙向這個(gè)需要服務(wù)器去配置的),所以分開來說,要不小伙伴們會(huì)蒙的
單向認(rèn)證
材料:買來的服務(wù)器證書server.cer(客戶端要放一個(gè),用來驗(yàn)證服務(wù)端),客戶端,服務(wù)器。
數(shù)據(jù)加密基本原理:RSA加密+對(duì)稱加密(數(shù)據(jù)data經(jīng)對(duì)稱密鑰key加密,然后把對(duì)稱密鑰key經(jīng)RSA公鑰加密)
1、客戶端向服務(wù)器發(fā)起請(qǐng)求。
2、服務(wù)器響應(yīng)到請(qǐng)求,同時(shí)把服務(wù)器的證書發(fā)給客戶端。
3、客戶端接收到證書,然后和客戶端中的證書對(duì)比,如果證書不一致或者無效,那么斷開連接。如果通過,那么進(jìn)行第四部。
4、用戶產(chǎn)生一個(gè)隨機(jī)密鑰,然后經(jīng)服務(wù)器證書中的公鑰進(jìn)行加密,傳給服務(wù)端。
5、服務(wù)端拿到加密數(shù)據(jù)和加密密鑰,用服務(wù)器的私鑰解開密鑰,得到對(duì)稱密鑰key。
6、服務(wù)端和客戶端互相通訊指定這個(gè)密鑰為加密密鑰。握手結(jié)束
7、客戶端和服務(wù)端開始通訊,通訊數(shù)據(jù)由對(duì)稱密鑰加密。
簡易圖(對(duì)付看吧)
雙向認(rèn)證
雙向認(rèn)證比單向認(rèn)證多了一步,就是服務(wù)器要認(rèn)證客戶端,按照百度百科上的步驟,客戶端應(yīng)該有一個(gè)由CA(或正規(guī)機(jī)構(gòu))簽發(fā)的p12證書,和CA根證書(簽名的p12就是由這個(gè)簽名的)
//上面的CA根證書和p12證書 ? 其實(shí)都可以自簽的,下面介紹的也是自簽的
材料:買來的服務(wù)器證書server.cer(客戶端要放一個(gè),用來驗(yàn)證服務(wù)端),客戶端,服務(wù)器端,CA的根證書(放到服務(wù)器中,用來驗(yàn)證客戶端的證書),p12證書(用來放到客戶端,網(wǎng)絡(luò)請(qǐng)求的時(shí)候會(huì)傳給服務(wù)端)。
步驟:就是在上面第4步的時(shí)候,要用p12文件來對(duì)一段數(shù)據(jù)進(jìn)行簽名,然后把簽名和p12證書,加密的對(duì)稱密鑰(上面的說過的)傳給服務(wù)器,然后服務(wù)器接到以后,會(huì)用CA根證書(或自簽的根證書)來對(duì)證書和簽名數(shù)據(jù)進(jìn)行驗(yàn)證,如果正確,通訊繼續(xù),否則,斷開連接。
其他的都是一樣的。
四、自簽證書的過程
p12和CA根證書,其實(shí)也可以自簽的,現(xiàn)在說下自簽的過程。
首先,先有個(gè)工具,xca
xca
就是這個(gè)東西,然后安裝以后
xca界面
首先,先生生成一個(gè)datacode
新建database
填寫database名字和存放地址
設(shè)置database的密碼,并確認(rèn)
然后就會(huì)生成一個(gè)這個(gè)東西
然后根據(jù)這個(gè)database生成一個(gè)CA根證書(當(dāng)然,是自簽的了)
根證書ca設(shè)置
根證書的具體設(shè)置
根證書CA私鑰的設(shè)置
直接點(diǎn)確定,然后就會(huì)提示你privatekey創(chuàng)建好了,然后直接確定到下面這個(gè)圖
根證書創(chuàng)建成功后會(huì)在xca中顯示出來的
然后導(dǎo)出CA根證書
根證書CA的導(dǎo)出
就是它
這時(shí)候,自簽的CA根證書就創(chuàng)建好了,這個(gè)CA證書是要放到服務(wù)器上的。一般默認(rèn)的CA證書時(shí)間是10年。
然后這時(shí)候,就要?jiǎng)?chuàng)建自簽的p12證書了。選中這個(gè)CA證書,然后
創(chuàng)建p12證書
設(shè)置p12證書的源頭
然后subject里面和設(shè)置CA證書一樣。
p12證書默認(rèn)是一年的,如果感覺短的話 ? 可以在Extensions中設(shè)置時(shí)間。
然后把P12證書放到客戶端項(xiàng)目里。
五、iOS端的https雙向適配
AFN的https的雙向適配2.x和3.0不一樣,先說3.0
客戶端認(rèn)證服務(wù)端,
shareManager = [AFHTTPSessionManager manager];
shareManager.securityPolicy = [self customSecurityPolicyWithCerName:HPWalletServerCerName];//調(diào)用方法
//客戶端認(rèn)證服務(wù)端的方法
+ (AFSecurityPolicy *)customSecurityPolicyWithCerName:(NSString *)cerName{
//導(dǎo)入證書路徑
NSString *cerPath = [[NSBundle mainBundle] pathForResource:cerName ofType:@""];
//加載證書
NSData *cerData = [NSData dataWithContentsOfFile:cerPath];
NSSet *certSet = [NSSet setWithObject:cerData];
//使用AFSSLPinningModeCertificate證書驗(yàn)證模式
AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate withPinnedCertificates:certSet];
//allowInvalidCertificates 是否允許無效證書(也就是自建的證書),默認(rèn)為NO
//如果是需要驗(yàn)證自建證書,需要設(shè)置為YES
securityPolicy.allowInvalidCertificates = NO;
//是否需要驗(yàn)證域名,默認(rèn)為YES
//假如證書的域名與你請(qǐng)求的域名不一致,需把該項(xiàng)設(shè)置為NO;如設(shè)成NO的話,即服務(wù)器使用其他可信任機(jī)構(gòu)頒發(fā)的證書,也可以建立連接,這個(gè)非常危險(xiǎn),建議打開。
//置為NO,主要用于這種情況:客戶端請(qǐng)求的是子域名,而證書上的是另外一個(gè)域名。因?yàn)镾SL證書上的域名是獨(dú)立的,假如證書上注冊(cè)的域名是www.google.com,那么mail.google.com是無法驗(yàn)證通過的;當(dāng)然,有錢可以注冊(cè)通配符的域名*.google.com,但這個(gè)還是比較貴的。
//如置為NO,建議自己添加對(duì)應(yīng)域名的校驗(yàn)邏輯。
securityPolicy.validatesDomainName = YES;
return securityPolicy;
}
重寫AFN的方法 ?來讓服務(wù)器認(rèn)證客戶端
{//新的https
shareManager.securityPolicy = [self customSecurityPolicyWithCerName:HPWalletServerCerName];
//客戶端請(qǐng)求驗(yàn)證,重寫setSessionDidReceiveAuthenticationChallengeBlock方法
[shareManager setSessionDidReceiveAuthenticationChallengeBlock:^NSURLSessionAuthChallengeDisposition(NSURLSession *session, NSURLAuthenticationChallenge *challenge, NSURLCredential *__autoreleasing *_credential) {
NSURLSessionAuthChallengeDisposition disposition = NSURLSessionAuthChallengePerformDefaultHandling;
__autoreleasing NSURLCredential *credential = nil;
if([challenge.protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust]) {
if([shareManager.securityPolicy evaluateServerTrust:challenge.protectionSpace.serverTrust forDomain:challenge.protectionSpace.host]) {
credential = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];
if(credential) {
disposition =NSURLSessionAuthChallengeUseCredential;
} else {
disposition =NSURLSessionAuthChallengePerformDefaultHandling;
}
} else {
disposition = NSURLSessionAuthChallengeCancelAuthenticationChallenge;
}
} else {
// client authentication
SecIdentityRef identity = NULL;
SecTrustRef trust = NULL;
NSString *p12 = [[NSBundle mainBundle] pathForResource:@"p12文件的名字" ofType:@"p12"];
NSFileManager *fileManager =[NSFileManager defaultManager];
if(![fileManager fileExistsAtPath:p12]) {
NSLog(@"hpwallet-client.p12:not exist");
} else {
NSData *PKCS12Data = [NSData dataWithContentsOfFile:p12];
if ([[self class] extractIdentity:&identity andTrust:&trust fromPKCS12Data:PKCS12Data]) {
SecCertificateRef certificate = NULL;
SecIdentityCopyCertificate(identity, &certificate);
const void *certs[] = {certificate};
CFArrayRef certArray =CFArrayCreate(kCFAllocatorDefault, certs,1,NULL);
credential =[NSURLCredential credentialWithIdentity:identity certificates:(__bridge ?NSArray*)certArray persistence:NSURLCredentialPersistencePermanent];
disposition =NSURLSessionAuthChallengeUseCredential;
}
}
}
*_credential = credential;
return disposition;
}];
}
+ (BOOL)extractIdentity:(SecIdentityRef *)outIdentity andTrust:(SecTrustRef *)outTrust fromPKCS12Data:(NSData *)inPKCS12Data {
OSStatus securityError = errSecSuccess;
//client certificate password
NSDictionary*optionsDictionary = [NSDictionary dictionaryWithObject:@“p12的密碼“ forKey:(__bridge id)kSecImportExportPassphrase];
CFArrayRef items = CFArrayCreate(NULL, 0, 0, NULL);
securityError = SecPKCS12Import((__bridge CFDataRef)inPKCS12Data,(__bridge CFDictionaryRef)optionsDictionary,&items);
if(securityError == 0) {
CFDictionaryRef myIdentityAndTrust =CFArrayGetValueAtIndex(items,0);
const void*tempIdentity =NULL;
tempIdentity= CFDictionaryGetValue (myIdentityAndTrust,kSecImportItemIdentity);
*outIdentity = (SecIdentityRef)tempIdentity;
const void*tempTrust =NULL;
tempTrust = CFDictionaryGetValue(myIdentityAndTrust,kSecImportItemTrust);
*outTrust = (SecTrustRef)tempTrust;
} else {
NSLog(@"Failedwith error code %d",(int)securityError);
return NO;
}
return YES;
}
AFN2.x適配
客戶端認(rèn)證服務(wù)器
manage.securityPolicy = [HttpServiceAFNetworkImp customSecurityPolicy];
+ (AFSecurityPolicy *)customSecurityPolicy
{
NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"服務(wù)器.cer證書的名字"ofType:@"der"];
NSData *cerData = [NSData dataWithContentsOfFile:cerPath];
AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];
//allowInvalidCertificates 是否允許無效證書(也就是自建的證書),默認(rèn)為NO
//如果是需要驗(yàn)證自建證書,需要設(shè)置為YES
securityPolicy.allowInvalidCertificates = NO;
//是否需要驗(yàn)證域名,默認(rèn)為YES
//假如證書的域名與你請(qǐng)求的域名不一致,需把該項(xiàng)設(shè)置為NO;如設(shè)成NO的話,即服務(wù)器使用其他可信任機(jī)構(gòu)頒發(fā)的證書,也可以建立連接,這個(gè)非常危險(xiǎn),建議打開。
//置為NO,主要用于這種情況:客戶端請(qǐng)求的是子域名,而證書上的是另外一個(gè)域名。因?yàn)镾SL證書上的域名是獨(dú)立的,假如證書上注冊(cè)的域名是www.google.com,那么mail.google.com是無法驗(yàn)證通過的;當(dāng)然,有錢可以注冊(cè)通配符的域名*.google.com,但這個(gè)還是比較貴的。
//如置為NO,建議自己添加對(duì)應(yīng)域名的校驗(yàn)邏輯。
securityPolicy.validatesDomainName = YES;
//放入證書
securityPolicy.pinnedCertificates = @[cerData];
return securityPolicy;
}
服務(wù)器認(rèn)證客戶端,這個(gè)要把AFN的AFURLConnectionOperation.m文件中 ?- (void)connection:(NSURLConnection *)connection willSendRequestForAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge方法替換掉 ?替換成
- (void)connection:(NSURLConnection *)connection
willSendRequestForAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge
{
NSString *thePath = [[NSBundle mainBundle] pathForResource:@"client" ofType:@"p12"];
//倒入證書 ? ? ? NSLog(@"thePath===========%@",thePath);
NSData *PKCS12Data = [[NSData alloc] initWithContentsOfFile:thePath];
CFDataRef inPKCS12Data = (__bridge CFDataRef)PKCS12Data;
SecIdentityRef identity = NULL;
// extract the ideneity from the certificate
[self extractIdentity :inPKCS12Data toIdentity:&identity];
SecCertificateRef certificate = NULL;
SecIdentityCopyCertificate (identity, &certificate);
const void *certs[] = {certificate};
// ? ? ? ? ? ? ? ? ? ? ? ?CFArrayRef certArray = CFArrayCreate(kCFAllocatorDefault, certs, 1, NULL);
// create a credential from the certificate and ideneity, then reply to the challenge with the credential
//NSLog(@"identity=========%@",identity);
NSURLCredential *credential = [NSURLCredential credentialWithIdentity:identity certificates:nil persistence:NSURLCredentialPersistencePermanent];
// ? ? ? ? ? credential = [NSURLCredential credentialWithIdentity:identity certificates:(__bridge NSArray*)certArray persistence:NSURLCredentialPersistencePermanent];
[challenge.sender useCredential:credential forAuthenticationChallenge:challenge];
}
并添加下面的方法
- (OSStatus)extractIdentity:(CFDataRef)inP12Data toIdentity:(SecIdentityRef*)identity {
OSStatus securityError = errSecSuccess;
CFStringRef password = CFSTR("證書密碼");
const void *keys[] = { kSecImportExportPassphrase };
const void *values[] = { password };
CFDictionaryRef options = CFDictionaryCreate(NULL, keys, values, 1, NULL, NULL);
CFArrayRef items = CFArrayCreate(NULL, 0, 0, NULL);
securityError = SecPKCS12Import(inP12Data, options, &items);
if (securityError == 0)
{
CFDictionaryRef ident = CFArrayGetValueAtIndex(items,0);
const void *tempIdentity = NULL;
tempIdentity = CFDictionaryGetValue(ident, kSecImportItemIdentity);
*identity = (SecIdentityRef)tempIdentity;
}
if (options) {
CFRelease(options);
}
return securityError;
}
企業(yè)建站知識(shí)
推廣知識(shí)
小程序
微信營銷
APP開發(fā)