iOS HTTPS的基本用法 以及連接建立過程

HTTPS（全稱：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全為目標的HTTP通道，簡單講是HTTP的安全版。

在迭部等地區(qū)，都構建了全面的區(qū)域性戰(zhàn)略布局，加強發(fā)展的系統(tǒng)性、市場前瞻性、產(chǎn)品創(chuàng)新能力，以專注、極致的服務理念，為客戶提供網(wǎng)站建設、做網(wǎng)站 網(wǎng)站設計制作按需開發(fā),公司網(wǎng)站建設,企業(yè)網(wǎng)站建設,品牌網(wǎng)站制作,營銷型網(wǎng)站,外貿(mào)營銷網(wǎng)站建設,迭部網(wǎng)站建設費用合理。

即HTTP下加入SSL層，HTTPS的安全基礎是SSL，因此加密的詳細內(nèi)容就需要SSL。 它是一個URI scheme（抽象標識符體系），句法類同http:體系。用于安全的HTTP數(shù)據(jù)傳輸。

https: URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默認端口及一個加密/身份驗證層（在HTTP與TCP之間）。

一、https協(xié)議需要到ca申請證書，一般免費證書很少，需要交費。

二、http是超文本傳輸協(xié)議，信息是明文傳輸，https 則是具有安全性的ssl加密傳輸協(xié)議。

三、http和https使用的是完全不同的連接方式，用的端口也不一樣，前者是80，后者是443。

四、http的連接很簡單，是無狀態(tài)的；HTTPS協(xié)議是由SSL+HTTP協(xié)議構建的可進行加密傳輸、身份認證的網(wǎng)絡協(xié)議，比http協(xié)議安全。

1）HTTPS的主要思想是在不安全的網(wǎng)絡上創(chuàng)建一安全信道，并可在使用適當?shù)募用馨头掌髯C書可被驗證且可被信任時，對竊聽和中間人攻擊提供合理的保護。

2）HTTPS的信任繼承基于預先安裝在瀏覽器中的證書頒發(fā)機構（如VeriSign、Microsoft等）（意即“我信任證書頒發(fā)機構告訴我應該信任的”）。

3）因此，一個到某網(wǎng)站的HTTPS連接可被信任，如果服務器搭建自己的https 也就是說采用自認證的方式來建立https信道，這樣一般在客戶端是不被信任的。

4）所以我們一般在瀏覽器訪問一些https站點的時候會有一個提示，問你是否繼續(xù)。

1 客戶端打包請求 。

? ?其中包括URL、端口、賬號和密碼等。使用賬號和密碼登陸應該用的是POST方式，所以相關的用戶信息會被加載到body中。這個請求應該包含3個方面：網(wǎng)絡地址、協(xié)議和資源路徑。注意：這里用的是HTTPS，即HTTP+SSL/TLS，在HTTP上又加了一層處理加密信息的模塊（相當于加了一個鎖）。這個過程相當于客戶端請求鑰匙。

2 服務器端接受請求。

? ? 一般客戶端的請求會先被發(fā)送到DNS服務器中。DNS服務器負責將網(wǎng)絡地址解析成IP地址，這個IP地址對應網(wǎng)上的一臺計算機。這其中可能發(fā)生Hosts Hijack和ISP failure的問題。過了DNS這一關，信息就到服務器端，此時客戶端和服務端的端口之間會建立一個socket連接。socket一般都是以file descriptor的方式解析請求的。這個過程相當于服務器端分析是否要想客戶端發(fā)送鑰匙模板。

3 服務器端返回數(shù)字證書。

? ?服務器端會有一套數(shù)字證書（相當于一個鑰匙模板），這個證書會先被發(fā)送個客戶端。這個過程相當于服務端向可獨斷發(fā)送鑰匙模板。

4 客戶端生成加密信息。

? ? 根據(jù)收到的數(shù)字證書（鑰匙模板），客戶端就會生成鑰匙，并把內(nèi)容鎖起來，此時信息已經(jīng)被加密。這個過程相當于客戶端生成鑰匙并鎖上請求。

5 客戶端方發(fā)送加密信息 。

? ?服務器端會收到由自己發(fā)送的數(shù)字證書加密的信息。這個時候生成的鑰匙也一并被發(fā)送到服務端。這個過程相當于客戶端發(fā)送請求。

6 服務端解鎖加密信息。

? ? ?服務端收到加密信息后，會根據(jù)得到的鑰匙進行解密，并把要返回的數(shù)據(jù)進行對稱加密。這個過程相當于服務器端解鎖請求，生成、加鎖回應信息。

7 服務器端向客戶端返回信息。

? ? ?客戶端會收到相應的加密信息。這個過程相當于服務器端向客戶端發(fā)送回應信息。

8 客戶端解鎖返回信息。

? ? 客戶端會用剛剛生成的鑰匙進行解密，將內(nèi)容顯示在瀏覽器上。

以上內(nèi)容摘自《iOS面試之道》一書，感謝作者。

iOS開發(fā)之Socket實現(xiàn)HTTPS GET請求通過Body傳參

Cocoa框架里，無論是用OS層基于 C 的BSD socket還是用對BSD socket進行了輕量級的封裝的CFNetwork，對于我這種C語言不及格的同學，那都是極其痛苦的體驗，因此我們就用CocoaAsyncSocket來進行socket連接，完全OC風格，非常愉快。

.h文件里沒有什么內(nèi)容只是暴露了一個供外界調(diào)用的請求接口，后面介紹，主要是.m文件里的擴展屬性：

GCDAsyncSocketDelegate代理的實現(xiàn)：

這里重點說一下sendData這個屬性的拼接（很重要，這里的格式?jīng)Q定了你發(fā)送的請求數(shù)據(jù)是否被服務器認可，并給你返回信息，相當于NSURLRequest的作用,其實就是拼接一個http協(xié)議）：

以上就是建立HTTP連接收發(fā)數(shù)據(jù)的全部內(nèi)容，如果不需要支持https的話，這個GET請求已經(jīng)可以完成，下面介紹進行https連接需要進行的設置(在.m文件里實現(xiàn))：（上面提到的[self doTLSConnect:sock]這個方法）

至此發(fā)送HTTPS GET請求并且用body傳遞參數(shù)就實現(xiàn)了，是不是很神奇。下面封裝一個對外調(diào)用的接口（在.h文件中把這個接口暴露出去就行了）：

** 其中的DCNetCache類用來暫存網(wǎng)絡請求的參數(shù)，它是這樣子滴：**

這樣子就大功告成了，注意把上面的host換成自己的，這里還有許多不完善的地方，我只是實現(xiàn)了簡單的GET請求并暫存請求參數(shù)，至于你需要其他的功能自己加上就是了。

附一篇講GCDAsyncSocket的干貨文章，非常值得一讀

iOS-HTTPS協(xié)議下ssl加密網(wǎng)絡請求/白名單http請求

蘋果公司在iOS9以后開啟了HTTPS請求，并且在2017年開始強制HTTPS，我們也可以利用白名單來設置部分域名http請求，下面根據(jù)兩種情況為大家分別介紹客戶端需要做的。

2、請求網(wǎng)絡時候進行加密驗證（引用上面方法）

解決方案：我們可以通過NSExceptionDomains設置白名單的方式來針對特定的域名開放HTTP內(nèi)容來通過審核?？梢院唵卫斫獬?，把不支持https協(xié)議的接口設置成http的接口。

操作：

1）在項目info.plist中添加一個Key：App Transport Security Settings，類型為

Dictionary;

2）在其內(nèi)添加一個Key: Exception Domains，類型為Dictionary;

3）在Exception Domains內(nèi)添加要支持的域，其中域作為Key，類型為Dictionary;

4）每個域下面需要設置3個屬性：類型為Boolean;

NSIncludesSubdomains? YES

NSExceptionRequiresForwardSecrecy? NO

NSExceptionAllowsInsecureHTTPLoads? YES

注意：每個需添加的域都需要設置此三個屬性。如果請求的網(wǎng)絡圖片是HTTP，也是需要設置的圖片的域。

iOS 啟用Https和調(diào)試：設置Charles查看加密請求內(nèi)容

網(wǎng)上有太多教程教你如何使用charles調(diào)試，但是一到Https，大部分教程只是讓你可以啟用ssl代理，但是沒有說明如何才能通過charles來真正查看https加密后的數(shù)據(jù)，這里我給出一個完整的教程來指導大家如何啟用https后任然可以查看加密請求內(nèi)容。在講解讓charles實現(xiàn)查看https請求內(nèi)容之前，先簡單講解一下代理實現(xiàn)的原理。

HTTP 代理存在兩種形式，分別簡單介紹如下：

第一種是 RFC 7230 - HTTP/1.1: Message Syntax and Routing （即修訂后的 RFC 2616，HTTP/1.1 協(xié)議的第一部分）描述的普通代理。這種代理扮演的是「中間人」角色，對于連接到它的客戶端來說，它是服務端；對于要連接的服務端來說，它是客戶端。它就負責在兩端之間來回傳送 HTTP 報文。

第二種是 Tunneling TCP based protocols through Web proxy servers （通過 Web 代理服務器用隧道方式傳輸基于 TCP 的協(xié)議）描述的隧道代理。它通過 HTTP 協(xié)議正文部分（Body）完成通訊，以 HTTP 的方式實現(xiàn)任意基于 TCP 的應用層協(xié)議代理。這種代理使用 HTTP 的 CONNECT 方法建立連接，但 CONNECT 最開始并不是 RFC 2616 - HTTP/1.1 的一部分，直到 2014 年發(fā)布的 HTTP/1.1 修訂版中，才增加了對 CONNECT 及隧道代理的描述，詳見 RFC 7231 - HTTP/1.1: Semantics and Content 。實際上這種代理早就被廣泛實現(xiàn)。

第一種 Web 代理原理特別簡單：

下面這張圖片來自于《HTTP 權威指南》，直觀地展示了上述行為：

[圖片上傳失敗...(image-615be4-1570502309613)]

客戶端請求先發(fā)送到代理服務器，代理再和真實服務器進行請求，對于web服務器來說，代理就是客戶端。服務器完全察覺不到真正客戶端的存在，這實現(xiàn)了隱藏客戶端 IP 的目的。當然代理也可以修改 HTTP 請求頭部，通過 X-Forwarded-IP 這樣的自定義頭部告訴服務端真正的客戶端 IP。但服務器無法驗證這個自定義頭部真的是由代理添加，還是客戶端修改了請求頭，所以從 HTTP 頭部字段獲取 IP 時，需要格外小心。

還有一種情況是訪問網(wǎng)站時，實際上訪問的是代理，代理收到請求報文后，再向真正提供服務的服務器發(fā)起請求，并將響應轉發(fā)給瀏覽器。這種情況一般被稱之為反向代理，它可以用來隱藏服務器 IP 及端口。一般使用反向代理后，需要通過修改 DNS 讓域名解析到代理服務器 IP，這時瀏覽器無法察覺到真正服務器的存在，當然也就不需要修改配置了。反向代理是 Web 系統(tǒng)最為常見的一種部署方式，例如本博客就是使用 Nginx 的 proxy_pass 功能將瀏覽器請求轉發(fā)到背后的 Node.js 服務。兩者的區(qū)別在于代理服務器是由誰配置的，如果是客戶端配置的代理，就是前置代理，如果是服務器配置的代理訪問，一般都是反向代理。

第二種 Web 代理的原理也很簡單：

下面這張圖片同樣來自于《HTTP 權威指南》，直觀地展示了上述行為：

[圖片上傳失敗...(image-8ec42b-1570502309613)]

假如我通過代理訪問A網(wǎng)站，瀏覽器首先通過 CONNECT 請求，讓代理創(chuàng)建一條到 A 網(wǎng)站的 TCP 連接；一旦 TCP 連接建好，代理無腦轉發(fā)后續(xù)流量即可。所以這種代理，理論上適用于任意基于 TCP 的應用層協(xié)議，HTTPS 網(wǎng)站使用的 TLS 協(xié)議當然也可以。這也是這種代理為什么被稱為隧道的原因。對于 HTTPS 來說，客戶端透過代理直接跟服務端進行 TLS 握手協(xié)商密鑰，所以依然是安全的。

步驟一：將Charles的根證書(Charles Root Certificates)安裝到Mac上。

步驟二：Mac信任Charles的根證書。

打開系統(tǒng)鑰匙串應用，在我的證書中找到剛安裝的Charles的Root證書：

這時候會彈出一個框，在移動設備的瀏覽器輸入彈框中提供的URL就可以安裝Charles證書(這時候需要移動設備已經(jīng)設置代理)。

在移動設備的瀏覽器中輸入上面的URL后會彈出一個確認框，點擊“允許”跳轉到“設置”頁面，安裝描述文件即可。

步驟五：接下來就可以在charles中啟用https代理了：

指定地址和443端口就可以了，還可以支持通配符。

到了這一步，網(wǎng)上大部分教程就結束了，實際上還是會遇到雖然看到了https請求通過了代理，但是還是看不到任何內(nèi)容。出現(xiàn)下面的提示：

SSLHandshake: Remote host closed connection during handshake

You may need to configure your browser or application to trust the Charles Root Certificate. See SSL Proxying in the Help menu.

這個時候就比較懵逼了，我已經(jīng)安裝了Charles Root Certificate為什么還是提示這個錯誤，也讓我查找了很久。這里我們先回到開頭的代理原理，我們可以看到代理有兩種模式，其中第二種模式隧道代理模式，是直接將數(shù)據(jù)轉發(fā)，數(shù)據(jù)內(nèi)容還是加密狀態(tài)，自然不能查看。那第一種簡單代理模式可以滿足我們的需求么？

可以也不可以，為什么這么說？Https最重要的特性就是加密防止信息窺探和劫持，使用第一種模式其實是加入了中間人，而且中間人需要被客戶端和服務器兩端同時信任，并且可以解析加密內(nèi)容進行轉發(fā)。我上一篇文章也講到，IOS下Https對連接進行校驗有多種模式，校驗證書，校驗域名，校驗證書鏈。為了支持charles分析Https請求內(nèi)容，我們需要構造條件讓charles成為受信任的中間人。還記得我們剛剛安裝了charles的Root證書么？為了讓charles成為受信任的代理中間人，我們在客戶端也需要設置信任charles的Root證書。

方法如下：

1、Charles菜單中選擇Help SSLProxying View Generated SSL Certificates Keystore Password，將顯示的密碼記下來。這個是在每個Charles安裝的時候自動生成的，和你本機的Charles Root Certificates相對應。

5、重新編譯你的App，這個時候在charles中就可以看到你的加密內(nèi)容了。