【引自IamOkay的博客】 iOS在Apple公司的強(qiáng)制要求下，數(shù)據(jù)傳輸必須按照ATS(App Transefer Security)條款。關(guān)于AFNetworking框架傳輸HTTPS數(shù)據(jù)。

一.AllowsArbitraryLoads 白名單機(jī)制

NSAllowsArbitraryLoads是ATS推廣過(guò)程中的產(chǎn)物，當(dāng)然也許可持續(xù)很久甚至永久，為了訪問(wèn)HTTP服務(wù)，一般需要繞過(guò)ATS限制，需要配置info.plist文件

<key>NSAppTransportSecurity</key> 
<dict> 
        <key>NSAllowsArbitraryLoads</key> 
        <true/> 
 </dict>  

這種機(jī)制實(shí)際上是允許了所有HTTP 和HTTPS的訪問(wèn)，顯然，這種做法實(shí)際上很危險(xiǎn)。設(shè)置為false就能避免繞開ATS，問(wèn)題是我們真的需要完全關(guān)閉這個(gè)選項(xiàng)么?

比如某些文件服務(wù)器，CDN服務(wù)器配置HTTPS反而影響傳輸速度，這種情況下HTTP反而具有很高的優(yōu)越性。因此，對(duì)于這類服務(wù)器的HTTP傳輸，我們其實(shí)也可以使用如下方式(設(shè)置白名單)，白名單之外的必須使用HTTPS協(xié)議。

<key>NSAppTransportSecurity</key> 
    <dict> 
        <key>NSExceptionDomains</key> 
        <dict> 
            <key>lib.baidu.com</key> 
            <dict> 
                <key>NSIncludesSubdomains</key> 
                <true/> 
            </dict> 
            <key>oss.fastdfs.cn</key> 
            <dict> 
                <key>NSIncludesSubdomains</key> 
                <true/> 
            </dict> 
           </dict> 
   </dict>  

二.免證書驗(yàn)證

免證書驗(yàn)證，一般來(lái)說(shuō)是client證書庫(kù)不會(huì)把server傳輸來(lái)的證書進(jìn)行校驗(yàn)。

舉個(gè)例子

AFHTTPSessionManager *manager = [AFHTTPSessionManager manager]; 
//允許非權(quán)威機(jī)構(gòu)頒發(fā)的證書 
manager.securityPolicy.allowInvalidCertificates = YES; 
//也不驗(yàn)證域名一致性 
manager.securityPolicy.validatesDomainName = NO; 
//關(guān)閉緩存避免干擾測(cè)試 
manager.requestSerializer.cachePolicy = NSURLRequestReloadIgnoringLocalCacheData; 
 
[manager GET:@"https://www.baidu.com/s?wd=https" parameters:nil progress:nil  
success:^(NSURLSessionDataTask * _Nonnull task, id  _Nullable responseObject) { 
        NSLog(@"%@",responseObject); 
    } failure:^(NSURLSessionDataTask * _Nullable task, NSError * _Nonnull error) { 
        NSLog(@"%@",error); 
}];  

這種方式導(dǎo)致我們的app容易遭到中間人攻擊，原因并不完全是我們?cè)O(shè)置了allowInvalidCertificates=YES 和validatesDomainName=NO，而是本地證書庫(kù)中沒(méi)有添加server的CA證書，只要是任意的https都能偽造為服務(wù)器。

因此，我們并不推薦使用這種方式。

三.證書驗(yàn)證

3.1 加密標(biāo)準(zhǔn)分類

證書驗(yàn)證分為2類，一類是單向認(rèn)證，一類是雙認(rèn)證。

此外，我們還需要區(qū)分證書與證書庫(kù)的區(qū)別，證書庫(kù)類型包括PKCS12,JKS,BKS等，其中，PKCS12是互聯(lián)網(wǎng)標(biāo)準(zhǔn)，可以跨平臺(tái)跨語(yǔ)言(支持Android,iOS,WP,PC,JAVA,PHP...)，JKS是Java標(biāo)準(zhǔn)，只能在Java平臺(tái)和Java語(yǔ)言下使用，BKS是 Bouncy Castle公司的加密標(biāo)準(zhǔn)，作為Android平臺(tái)支持SSL/TLS加密套件PKCS12的補(bǔ)充，其加密強(qiáng)度很高，但是目前只用于Android平臺(tái)。證書的定義是保存在證書庫(kù)中的數(shù)字簽名信息或者單獨(dú)的證書文件，如crt,pem,cer等文件。在說(shuō)加密之前，先來(lái)看看自簽名證書。

3.2 自簽名證書 vs 第三方權(quán)威機(jī)構(gòu)證書

有人可能會(huì)有疑問(wèn)，自簽名證書和第三方權(quán)威機(jī)構(gòu)的證書的效用是否一樣?

實(shí)際上本人認(rèn)為完全一樣，在互聯(lián)網(wǎng)中，基于B/S架構(gòu)的服務(wù)中，B端通常導(dǎo)入了第三方權(quán)威機(jī)構(gòu)的根證書(ROOT CA)，實(shí)際上就是為了驗(yàn)證網(wǎng)站的CA證書是不是安全的，并且驗(yàn)證是不是由權(quán)威的安全機(jī)構(gòu)簽發(fā)的證書。問(wèn)題是，我們的App與Server是C/S架構(gòu)，每個(gè)app最多也就只能訪問(wèn)有限的幾個(gè)網(wǎng)址，我們自己做的app實(shí)際上本身就是信任自己的所設(shè)置的站點(diǎn)URL的，也就是說(shuō)我們自己人相信自己人。我們的證書只是為了數(shù)據(jù)安全傳輸，不被中間人攻擊，因此完全沒(méi)必要使用(ROOT CA)，但是具體來(lái)說(shuō)，到目前為止也沒(méi)人試過(guò)這種方式是否可以通過(guò)審核。

我試圖找第三方CA證書機(jī)構(gòu)交流，貌似他只是說(shuō)這是蘋果的規(guī)定，實(shí)際上自簽名證書本質(zhì)上沒(méi)什么問(wèn)題，只要密鑰長(zhǎng)度，復(fù)雜度，加密方式等達(dá)到要求即可。

因此，蘋果如果真的要求必須使用第三方CA ROOT簽名的規(guī)則，本身是不合理的。這些問(wèn)題也沒(méi)法避免，不過(guò)，如果蘋果允許自簽名證書的話，設(shè)置allowInvalidCertificates=YES即可。

3.3 單向認(rèn)證

需要準(zhǔn)備的文件：服務(wù)端證書庫(kù) ， 服務(wù)端導(dǎo)出的證書

單向認(rèn)證，實(shí)際上說(shuō)的是只有Client端對(duì)Server端的證書進(jìn)行驗(yàn)證，Server不需要驗(yàn)證Client端的證書。

自定義類：MyAFNetworking

+ (AFHTTPSessionManager *)manager; 
{ 
    static AFHTTPSessionManager *shareInstance = nil; 
    static dispatch_once_t onceToken; 
    dispatch_once(&onceToken, ^{ 
 
        NSURLSessionConfiguration *configuration = [NSURLSessionConfiguration defaultSessionConfiguration]; 
        shareInstance = [[AFHTTPSessionManager alloc] initWithBaseURL:[NSURL URLWithString:BaseHttpURLString] sessionConfiguration:configuration]; 
        //設(shè)置請(qǐng)求參數(shù)的類型:JSON 
        shareInstance.requestSerializer = [AFJSONRequestSerializer serializer]; 
        //設(shè)置服務(wù)器返回結(jié)果的類型:JSON (AFJSONResponseSerializer,AFHTTPResponseSerializer) 
        shareInstance.responseSerializer = [AFJSONResponseSerializer serializer]; 
        //設(shè)置請(qǐng)求的超時(shí)時(shí)間 
        shareInstance.requestSerializer.timeoutInterval = 20.0f; 
        //設(shè)置ContentType 
        shareInstance.responseSerializer.acceptableContentTypes = [NSSet setWithObjects:@"application/json", @"text/html", @"text/json", @"text/plain", @"text/javascript", @"text/xml", @"image/jpeg",@"image/png", nil]; 
 
        // https配置 
        NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"你的證書名" ofType:@"cer"]; 
        NSData *certData = [NSData dataWithContentsOfFile:cerPath]; 
        AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate withPinnedCertificates:[[NSSet alloc] initWithObjects:certData, nil]]; 
 
        NSSet *dataSet = [[NSSet alloc] initWithObjects:certData, nil]; //這里可以添加多個(gè)server的證書 
 
        // setPinnedCertificates 設(shè)置證書文件（可能不止一個(gè)證書） 
        [securityPolicy setPinnedCertificates:dataSet]; 
        // allowInvalidCertificates 是否允許無(wú)效證書 
        [securityPolicy setAllowInvalidCertificates:NO]; 
        // validatesDomainName 是否需要驗(yàn)證域名 
        [securityPolicy setValidatesDomainName:YES]; 
 
        shareInstance.securityPolicy = securityPolicy; 
    }); 
    return shareInstance; 
} 

注意：以上說(shuō)的證書是從服務(wù)器端到處的cer或者crt證書，這類證書是X509 Der格式的二進(jìn)制編碼證書，不是X509 PAM格式的Base64編碼證書，關(guān)于自簽名證書的生成請(qǐng)參考如下地址

常見證書格式及相互轉(zhuǎn)換

iOS非對(duì)稱加解密

iOS 自簽名證書建立(self-signed)

3.4 雙向認(rèn)證

iOS和Android一樣，客戶端證書庫(kù)類型可以是PKCS12類型的pfx證書，此類證書包含私鑰，公鑰和證書，并且由密碼。

雙向認(rèn)證一般用于安全要求比較高的產(chǎn)品，比如金融類app，政府a(chǎn)pp等特殊行業(yè)。

需要準(zhǔn)備的文件：服務(wù)端證書庫(kù)，服務(wù)端證書信任庫(kù) ， 服務(wù)端導(dǎo)出的證書，客戶端證書庫(kù)，客戶端證書

注[1]：服務(wù)端證書庫(kù)可以和服務(wù)端信任證書庫(kù)使用同一個(gè)證書庫(kù)，唯一要做的是把客戶端證書導(dǎo)入進(jìn)行。

注[2]：客戶端證書一般使用跨平臺(tái)的PKCS12證書庫(kù)(pfx或p12)，必須記住證書庫(kù)密鑰，此類證書庫(kù)同時(shí)包含私鑰，公鑰和證書。

3.4.1 信任服務(wù)器

本步驟用來(lái)校驗(yàn)客戶端證書，和單向認(rèn)證完全相同

自定義類：MyAFNetworking

+ (AFHTTPSessionManager *)manager; 
{ 
    static AFHTTPSessionManager *shareInstance = nil; 
    static dispatch_once_t onceToken; 
    dispatch_once(&onceToken, ^{ 
 
        NSURLSessionConfiguration *configuration = [NSURLSessionConfiguration defaultSessionConfiguration]; 
        shareInstance = [[AFHTTPSessionManager alloc] initWithBaseURL:[NSURL URLWithString:BaseHttpURLString] sessionConfiguration:configuration]; 
        //設(shè)置請(qǐng)求參數(shù)的類型:JSON 
        shareInstance.requestSerializer = [AFJSONRequestSerializer serializer]; 
        //設(shè)置服務(wù)器返回結(jié)果的類型:JSON (AFJSONResponseSerializer,AFHTTPResponseSerializer) 
        shareInstance.responseSerializer = [AFJSONResponseSerializer serializer]; 
        //設(shè)置請(qǐng)求的超時(shí)時(shí)間 
        shareInstance.requestSerializer.timeoutInterval = 20.0f; 
        //設(shè)置ContentType 
        shareInstance.responseSerializer.acceptableContentTypes = [NSSet setWithObjects:@"application/json", @"text/html", @"text/json", @"text/plain", @"text/javascript", @"text/xml", @"image/jpeg",@"image/png", nil]; 
 
        // https配置 
        NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"你的證書名" ofType:@"cer"]; 
        NSData *certData = [NSData dataWithContentsOfFile:cerPath]; 
        AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate withPinnedCertificates:[[NSSet alloc] initWithObjects:certData, nil]]; 
 
        NSSet *dataSet = [[NSSet alloc] initWithObjects:certData, nil]; //這里可以添加多個(gè)server的證書 
 
        // setPinnedCertificates 設(shè)置證書文件（可能不止一個(gè)證書） 
        [securityPolicy setPinnedCertificates:dataSet]; 
        // allowInvalidCertificates 是否允許無(wú)效證書 
        [securityPolicy setAllowInvalidCertificates:NO]; 
        // validatesDomainName 是否需要驗(yàn)證域名 
        [securityPolicy setValidatesDomainName:YES]; 
 
        shareInstance.securityPolicy = securityPolicy; 
    }); 
    return shareInstance; 
} 

 3.4.2 提供客戶端證書和證書庫(kù)

/* 
* 
** 
* 創(chuàng)建服務(wù)器信任客戶端的認(rèn)證條件 
** 
*/ 
+(AFHTTPSessionManager *) createCredentialsClient 
{ 
__block AFHTTPSessionManager * manager = [MyAFNetworking manager]; 
[manager setSessionDidReceiveAuthenticationChallengeBlock:^NSURLSessionAuthChallengeDisposition(NSURLSession*session, NSURLAuthenticationChallenge *challenge, NSURLCredential *__autoreleasing*_credential) { 
    NSURLSessionAuthChallengeDisposition disposition = NSURLSessionAuthChallengePerformDefaultHandling; 
    __autoreleasing NSURLCredential *credential =nil; 
    if([challenge.protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust]) { 
        if([manager.securityPolicy evaluateServerTrust:challenge.protectionSpace.serverTrust forDomain:challenge.protectionSpace.host]) { 
            credential = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust]; 
            if(credential) { 
                disposition =NSURLSessionAuthChallengeUseCredential; 
            } else { 
                disposition =NSURLSessionAuthChallengePerformDefaultHandling; 
            } 
        } else { 
            disposition = NSURLSessionAuthChallengeCancelAuthenticationChallenge; 
        } 
    } else { 
        // client authentication 
        SecIdentityRef identity = NULL; 
        SecTrustRef trust = NULL; 
        NSString *p12 = [[NSBundle mainBundle] pathForResource:@"client"ofType:@"pfx"]; 
        NSFileManager *fileManager =[NSFileManager defaultManager]; 
 
        if(![fileManager fileExistsAtPath:p12]) 
        { 
            NSLog(@"client.p12:not exist"); 
        } 
        else 
        { 
            NSData *PKCS12Data = [NSData dataWithContentsOfFile:p12]; 
            #加載PKCS12證書，pfx或p12 
            if ([MyAFNetworking extractIdentity:&identity andTrust:&trust fromPKCS12Data:PKCS12Data]) 
            { 
                SecCertificateRef certificate = NULL; 
                SecIdentityCopyCertificate(identity, &certificate); 
                const void*certs[] = {certificate}; 
                CFArrayRef certArray =CFArrayCreate(kCFAllocatorDefault, certs,1,NULL); 
                credential =[NSURLCredential credentialWithIdentity:identity certificates:(__bridge  NSArray*)certArray persistence:NSURLCredentialPersistencePermanent]; 
                disposition =NSURLSessionAuthChallengeUseCredential; 
            } 
        } 
    } 
    *_credential = credential; 
    return disposition; 
}]; 
 
return manager; 
} 
 
/** 
**加載PKCS12證書，pfx或p12 
**  
**/ 
+(BOOL)extractIdentity:(SecIdentityRef*)outIdentity andTrust:(SecTrustRef *)outTrust fromPKCS12Data:(NSData *)inPKCS12Data { 
    OSStatus securityError = errSecSuccess; 
    //client certificate password 
    NSDictionary*optionsDictionary = [NSDictionary dictionaryWithObject:@"你的p12密碼" 
                                                                forKey:(__bridge id)kSecImportExportPassphrase]; 
 
    CFArrayRef items = CFArrayCreate(NULL, 0, 0, NULL); 
    securityError = SecPKCS12Import((__bridge CFDataRef)inPKCS12Data,(__bridge CFDictionaryRef)optionsDictionary,&items); 
 
    if(securityError == 0) { 
        CFDictionaryRef myIdentityAndTrust =CFArrayGetValueAtIndex(items,0); 
        const void*tempIdentity =NULL; 
        tempIdentity= CFDictionaryGetValue (myIdentityAndTrust,kSecImportItemIdentity); 
        *outIdentity = (SecIdentityRef)tempIdentity; 
        const void*tempTrust =NULL; 
        tempTrust = CFDictionaryGetValue(myIdentityAndTrust,kSecImportItemTrust); 
        *outTrust = (SecTrustRef)tempTrust; 
    } else { 
        NSLog(@"Failedwith error code %d",(int)securityError); 
        return NO; 
    } 
    return YES; 
} 

 通過(guò)以上方式，我們便能實(shí)現(xiàn)雙向認(rèn)證了 

AFHTTPSessionManager * manager = [MyAFNetworking createCredentialsClient];