iOS中HTTP/HTTPS授權(quán)訪問(一)

背景

在http請(qǐng)求中某些url訪問需要具有權(quán)限認(rèn)證,否則會(huì)返回401錯(cuò)誤碼,這時(shí)需要你在請(qǐng)求頭中附帶授權(quán)的用戶名,密碼;或者使用https協(xié)議第一次與服務(wù)端建立連接的時(shí)候,服務(wù)端會(huì)發(fā)送iOS客戶端一個(gè)證書,這時(shí)我們需要驗(yàn)證服務(wù)端證書鏈(certificate keychain)。
當(dāng)我們遇到以上情況的時(shí)候NSURLSession(在iOS7以后網(wǎng)絡(luò)請(qǐng)求全部由NSURLSession來完成所以在此以NSURLSession為例)中的一個(gè)delegate會(huì)被調(diào)用:

 - (void)URLSession:(NSURLSession *)session
              task:(NSURLSessionTask *)task
didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge
 completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition disposition, NSURLCredential *credential))completionHandler

這個(gè)代理就是為了處理從服務(wù)端傳回的NSURLAuthenticationChallenge(認(rèn)證),在NSURLAuthenticationChallenge的protectionSpace中存放了服務(wù)端返回的認(rèn)證信息,我們需要根據(jù)這些信息來創(chuàng)建對(duì)應(yīng)的NSURLCredential(證書/憑證),并且設(shè)置對(duì)應(yīng)的NSURLSessionAuthChallengeDisposition(處理方式)來告訴NSURLSession來如何處理處服務(wù)端返回的個(gè)認(rèn)證.

NSURLSessionAuthChallengeDisposition中包含三種類型

 NSURLSessionAuthChallengePerformDefaultHandling:默認(rèn)方式處理
 NSURLSessionAuthChallengeUseCredential:使用指定的證書
 NSURLSessionAuthChallengeCancelAuthenticationChallenge:取消

AFNetworking在代理中做了如下處理:

    NSURLSessionAuthChallengeDisposition disposition = NSURLSessionAuthChallengePerformDefaultHandling;
    __block NSURLCredential *credential = nil;

    if (self.sessionDidReceiveAuthenticationChallenge)
    {   // 自定義認(rèn)證處理方式
        disposition = self.sessionDidReceiveAuthenticationChallenge(session, challenge, &credential);
    }
    else
    {   // 默認(rèn)處理方式
        if ([challenge.protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust])
        {
            // 根據(jù)AFSecurityPolicy的默認(rèn)規(guī)則判斷是否需要新建證書
            if ([self.securityPolicy evaluateServerTrust:challenge.protectionSpace.serverTrust forDomain:challenge.protectionSpace.host])
            {
                credential = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust]; // 根據(jù)服務(wù)器返回的challenge中的protectionSpace中的SecTrustRefwww創(chuàng)建證書
                if (credential) {
                    disposition = NSURLSessionAuthChallengeUseCredential; // 使用創(chuàng)建的證書
                } else {
                    disposition = NSURLSessionAuthChallengePerformDefaultHandling; //使用默認(rèn)方式
                }
            }
            else
            {
                disposition = NSURLSessionAuthChallengeCancelAuthenticationChallenge;
            }
        }
        else
        {
            disposition = NSURLSessionAuthChallengePerformDefaultHandling;
        }
    }

    if (completionHandler) {
        completionHandler(disposition, credential);
    }

這個(gè)方法具體做了什么會(huì)在后面的文章中寫出,本文主要介紹的是NSURLCredentialNSURLAuthenticationChallenge.

NSURLCredential

在這個(gè)代理中是一個(gè)用來提供用戶和密碼,或者是信任服務(wù)器證書憑證的證書類,主要有一下三種創(chuàng)建方式:

1.通過用戶名,密碼來創(chuàng)建證書,一般用于401錯(cuò)誤的認(rèn)證,或者其他需要用戶名密碼的認(rèn)證

    - (instancetype)initWithUser:(NSString *)user password:(NSString *)password persistence:(NSURLCredentialPersistence)persistence;

2.通過從鑰匙串中取得一個(gè)客戶端證書來創(chuàng)建證書,一般用于服務(wù)端要認(rèn)證客戶端的情況

    - (instancetype)initWithIdentity:(SecIdentityRef)identity certificates:(nullable NSArray *)certArray persistence:(NSURLCredentialPersistence)persistence

3.通過服務(wù)端傳回的SecTrustRef(包含待驗(yàn)證的證書和支持的驗(yàn)證方法等。)對(duì)象創(chuàng)建證書,一般用于客戶端需要驗(yàn)證服務(wù)端身份時(shí)使用

-(id)initWithTrust:(SecTrustRef)trust

你會(huì)發(fā)現(xiàn)前兩個(gè)構(gòu)造方法中都有一個(gè)NSURLCredentialPersistence參數(shù),這個(gè)參數(shù)一共含有三種類型

  • NSURLCredentialPersistenceNone 不保存,只請(qǐng)求一次
  • NSURLCredentialPersistenceForSession 只在本次會(huì)話中有效
  • NSURLCredentialPersistencePermanent 永久有效,保存在鑰匙串中

NSURLProtectionSpace

在介紹NSURLAuthenticationChallenge之前先說一下NSURLAuthenticationChallenge中的一個(gè)屬性NSURLProtectionSpace這是權(quán)限認(rèn)證的核心,它通常被稱為保護(hù)空間,表示需要認(rèn)證的服務(wù)器或者域,它定義了一系列的約束去告訴我們需要向服務(wù)器提供什么樣的認(rèn)證,這個(gè)保護(hù)空間含有以下幾個(gè)信息:

- (NSString *)realm; // 用于定義保護(hù)的區(qū)域,在服務(wù)端可以通過 realm 將不同的資源分成不同的域,域的名稱即為 realm 的值,每個(gè)域可能會(huì)有自己的權(quán)限鑒別方案。
- (BOOL)receivesCredentialSecurely; // 這個(gè)空間內(nèi)的證書是否能夠安全的發(fā)送
- (BOOL)isProxy; // 代理授權(quán)
- (NSString *)host; // 服務(wù)端主機(jī)地址,如果是代理則代理服務(wù)器地址
- (NSInteger)port; // 服務(wù)端端口地址,如果是代理則代理服務(wù)器的端口
- (NSString *)proxyType; // 代理類型,只對(duì)代理授權(quán),比如http代理,socket代理等。
- (NSString *)protocol; // 使用的協(xié)議,比如http,https, ftp等,
- (NSString *)authenticationMethod; // 指定授權(quán)方式,比如401,客戶端認(rèn)證,服務(wù)端信任,代理等。
- (NSArray *)distinguishedNames; // 可接受的頒發(fā)機(jī)關(guān)客戶端證書身份驗(yàn)證
- (SecTrustRef)serverTrust; // 用于服務(wù)端信任,指定一個(gè)信任對(duì)象,可以用這個(gè)對(duì)象來建立一個(gè)憑證。

其中authenticationMethod中包含的認(rèn)證類型如下:

NSURLProtectionSpaceHTTP // http協(xié)議
NSURLProtectionSpaceHTTPS // https協(xié)議
NSURLProtectionSpaceFTP // ftp協(xié)議
NSURLProtectionSpaceHTTPProxy // http代理
NSURLProtectionSpaceHTTPSProxy // https代理
NSURLProtectionSpaceFTPProxy // ftp代理
NSURLProtectionSpaceSOCKSProxy // socks代理
NSURLAuthenticationMethodDefault // 協(xié)議的默認(rèn)身份認(rèn)證
NSURLAuthenticationMethodHTTPBasic // http的basic認(rèn)證,等同于NSURLAuthenticationMethodDefault
NSURLAuthenticationMethodHTTPDigest // http的摘要認(rèn)證
NSURLAuthenticationMethodHTMLForm // html的表單認(rèn)證
適用于任何協(xié)議
NSURLAuthenticationMethodNTLM // NTLM認(rèn)證
NSURLAuthenticationMethodNegotiate // Negotiate認(rèn)證
NSURLAuthenticationMethodClientCertificate // ssl證書認(rèn)證,適用于任何協(xié)議
NSURLAuthenticationMethodServerTrust // ServerTrust認(rèn)證,適用于任何協(xié)議

接下來就是NSURLAuthenticationChallenge

NSURLAuthenticationChallenge

這是由服務(wù)端返回的權(quán)限認(rèn)證類,中間包含如下信息:

- (NSURLProtectionSpace *)protectionSpace; // 這個(gè)函數(shù)返回一個(gè)類NSURLProtectionSpace,類中描述服務(wù)器中希望的認(rèn)證方式以及協(xié)議,主機(jī)端口號(hào)等信息。
- (NSURLCredential *)proposedCredential; // 建議使用的證書
- (NSInteger)previousFailureCount; // 用戶密碼輸入失敗的次數(shù)。
- (NSURLResponse *)failureResponse; // 授權(quán)失敗的響應(yīng)頭的詳細(xì)信息
- (NSError *)error; // 最后一次授權(quán)失敗的錯(cuò)誤信息

我們可以大致梳理下整體流程:

image.png

當(dāng)客戶端發(fā)出一個(gè)網(wǎng)絡(luò)請(qǐng)求的時(shí)候(圖中的第1,2步),服務(wù)端會(huì)收到來自客戶端的請(qǐng)求并作出響應(yīng)(圖中的第3步),這里服務(wù)端發(fā)現(xiàn)此請(qǐng)求需要輸入用戶名才能繼續(xù),所以客戶端返回了一個(gè)權(quán)限認(rèn)證,這是客戶端中的NSURLSession的delegate會(huì)被調(diào)用,這時(shí)我們可以從challenge中的protectionSpace里的authenticationMethod屬性獲取到當(dāng)前服務(wù)器需要我們提供什么類型的認(rèn)證 (在圖中authenticationMethod為NSURLAuthenticationMethodHTTPDigest) ,根據(jù)不同的類型使用不同的方式創(chuàng)建需要處理的credential然后設(shè)置對(duì)應(yīng)的disposition參數(shù),然后通過completionHandler告訴Session如何處理此次的權(quán)限認(rèn)證(其實(shí)最后最后session會(huì)將此憑證返回給服務(wù)端,再由服務(wù)端去校驗(yàn)輸入用戶名密碼是否正確,如果正確便繼續(xù)請(qǐng)求,如果不正確的話會(huì)繼續(xù)返回認(rèn)證).

結(jié)語

其實(shí)本文除了介紹NSURLCredentialNSURLAuthenticationChallenge外還大致講述了在http請(qǐng)求中的NSURLAuthenticationMethodHTTPDigest(摘要認(rèn)證)認(rèn)證的大致流程,在下一篇文章中會(huì)著重講述下https請(qǐng)求中的驗(yàn)證以及客戶端的校驗(yàn)過程。

參考博文:
http://blog.csdn.net/wangyangzhizhou/article/details/51336038?utm_source=tuicool&utm_medium=referral
http://blog.csdn.net/u014084081/article/details/53610157
http://www.cnblogs.com/eileenleung/p/5237682.html
http://m.itdecent.cn/p/4b5d2d47833d
http://blog.csdn.net/tencent_bugly/article/details/54572899

作者:fmxccccc
鏈接:http://m.itdecent.cn/p/88336eab2b8d
來源:簡(jiǎn)書
簡(jiǎn)書著作權(quán)歸作者所有,任何形式的轉(zhuǎn)載都請(qǐng)聯(lián)系作者獲得授權(quán)并注明出處。

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容