IOS Swift Https单向认证

前言

上一篇文章记录一下https相关概念，主要是一开始要做https请求的时候被概念弄得头疼，就把一些概念记录了一下，现在记录一下单向验证。

什么是单向认证

既然有单向认证，就存在双向认证，这一篇介绍了单向认证和双向认证。单向认证也是最常见的，大多数https基于这种方式，大致流程在上篇文章最后也有总结，大概提一下有个映像：
1.客户端请求服务器
2.服务端将证书、公钥等发给客户端
3.客户端首先向一个权威的服务器检查证书的合法性证书，成功则产生一个随机数作为对称加密算法的密钥，使用服务端公钥加密发送给服务端
4.服务端使用私钥解密，获取对称密匙（随机数）
5.后续客户端与服务端使用该随机数作为加密算法，对信息加密通信

配置tomcat

用tomcat来支持https请求，首先需要一个证书，就使用keytool生成自签名的方式做一个证书，这一步网上方法很多。

生成keystore文件

先用工具keytool在当前目录下生成一个服务器端的证书库keystore

keytool -genkey -v -alias server -keyalg RSA -keystore ./server.keystore -validity 36500

找到tomcat下的conf目录中的server.xml文件

合适的位置加入以下配置

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"        maxThreads="150" SSLEnabled="true" scheme="https" secure="true"clientAuth="false" sslProtocol="TLS"keystoreFile="/Users/superbin/Documents/keytool/server.keystore"keystorePass="123456"></Connector>

生成CER文件

这里就不生成CSR了，要向CA申请才需要，直接生成cer证书，为后面做准备。

keytool -export -alias server -keystore ./server.keystore -file ./server.cer -storepass 123456

启动tomcat

启动tomcat，可以使用浏览器进行访问。
http://localhost:8080
https://localhost:8443

IOS使用原生网络对https进行访问

如果服务器端的证书是通过认证机构认证生成的，则IOS不需要做特别处理，可直接访问https请求（例如：https://www.baidu.com），但如果是使用自签名生成的证书，则需要自己对证书进行验证。
IOS进行网络请求，目前主要有URLConnection和URLSession。URLSession是iOS7中新的网络接口，使用URLSession作为网络请求对自签名证书进行验证。

首先是一个https的GET请求

func httpsGet(urlStr:String){        //请求URL        let url:URL! = URL(string: urlStr)        let request:NSMutableURLRequest = NSMutableURLRequest(url: url)        var paramDic = [String: String]()        request.httpMethod = "GET"        request.timeoutInterval = 20        //默认session配置        let config = URLSessionConfiguration.default        let session = URLSession(configuration: config, delegate: self, delegateQueue: OperationQueue.main)        //发起请求        let dataTask = session.dataTask(with: request as URLRequest) {            (data:Data?, response:URLResponse?, error:Error?) in            if(data != nil ){                var str = String.init(data: data!, encoding: String.Encoding.utf8)                printLogTool(str)            }else {                printLogTool(error)            }        }        //请求开始        dataTask.resume()    }

不导入证书认证

通过实现URLSessionDelegate委托，进行Https验证。
以下这种方式不需要导入证书，没有对证书进行验证，直接返回服务器确认通过，这种方式也能建立https连接，但不够安全。

extension HttpUtils:URLSessionDelegate{    func urlSession(_ session: URLSession, didReceive challenge: URLAuthenticationChallenge, completionHandler: @escaping (URLSession.AuthChallengeDisposition, URLCredential?) -> Void) {            if challenge.protectionSpace.authenticationMethod            == (NSURLAuthenticationMethodServerTrust) {            print("服务端证书认证！")            let serverTrust:SecTrust = challenge.protectionSpace.serverTrust!            let certificate = SecTrustGetCertificateAtIndex(serverTrust, 0)            let credential = URLCredential(trust: serverTrust)            challenge.sender!.continueWithoutCredential(for: challenge)            challenge.sender?.use(credential, for: challenge)            completionHandler(URLSession.AuthChallengeDisposition.useCredential,                              URLCredential(trust: challenge.protectionSpace.serverTrust!))        }    }}

导入证书认证

验证步骤：
1.将上面生成server.cer导入工程

2.先获取需要验证的信任对象(Trust Object)
3.从信任对象中获取服务器证书，并转化成二进制数据
4.从本地导入的证书，并转化成二进制数据，与上一步的数据比较
5.成功，回调凭证，传递给服务器
4.假如验证失败，取消此次验证流程，拒绝连接请求

extension HttpUtils:URLSessionDelegate{    /**     Requests credentials from the delegate in response to a session-level authentication request from the remote server.     从委托中获得请求证书 响应来自远程服务器的会话级身份验证请求     */    //URLAuthenticationChallenge： 授权质问    //URLSession.AuthChallengeDisposition：响应身份验证    func urlSession(_ session: URLSession, didReceive challenge: URLAuthenticationChallenge, completionHandler: @escaping (URLSession.AuthChallengeDisposition, URLCredential?) -> Void) {        /**         protectionSpace：从保护空间对象提供关于身份验证请求的附加信息，         并告诉你身份验证方法 采用您提供用户的证书还是验证服务器提供的证书         */        if challenge.protectionSpace.authenticationMethod            == (NSURLAuthenticationMethodServerTrust) {            //SecTrust:security Trust 也叫信任对象Trust Object 包含关于信任管理的信息            //从服务器信任的保护空间返回一个SecTrust            let serverTrust:SecTrust = challenge.protectionSpace.serverTrust!            //从信任管理链中获取第一个证书            let certificate = SecTrustGetCertificateAtIndex(serverTrust, 0)            //SecCertificateCopyData：返回一个DER 编码的 X.509 certificate            //根据二进制内容提取证书信息            let remoteCertificateData                = CFBridgingRetain(SecCertificateCopyData(certificate!))!            //本地加载证书            let cerPath = Bundle.main.path(forResource: "server", ofType: "cer")!            let cerUrl = URL(fileURLWithPath:cerPath)            let localCertificateData = try! Data(contentsOf: cerUrl)            // 证书校验：这里直接比较本地证书文件内容 和 服务器返回的证书文件内容            if localCertificateData as Data == remoteCertificateData as! Data {                let credential = URLCredential(trust: serverTrust)                //尝试继续请求而不提供证书作为验证凭据                challenge.sender!.continueWithoutCredential(for: challenge)                //尝试使用证书作为验证凭据，建立连接                challenge.sender?.use(credential, for: challenge)                //回调给服务器，使用该凭证继续连接                completionHandler(URLSession.AuthChallengeDisposition.useCredential,URLCredential(trust: challenge.protectionSpace.serverTrust!))            }else {                challenge.sender?.cancel(challenge)                // 证书校验不通过                completionHandler(URLSession.AuthChallengeDisposition.cancelAuthenticationChallenge, nil)            }        }    }}

参考文章：
http://www.cocoachina.com/ios/20151021/13722.html
http://www.cocoachina.com/ios/20150810/12947.html
http://blog.csdn.net/u011604049/article/details/52869824

双向认证可以参考：
http://www.hangge.com/blog/cache/detail_1053.html
http://www.cnblogs.com/beiyan/p/6248187.html