Https iOS需要做的事

其他不扯，看代码

使用AFNetworking3.0版本之后：

- (void)btnAction {//初始化AFHTTPSessionManagerNSURLSessionConfiguration *sessionConfig = [NSURLSessionConfiguration defaultSessionConfiguration];self.sessinonManager = [[AFHTTPSessionManager alloc]initWithBaseURL:[NSURL URLWithString:@"https://www.songchunmin.com:8443/test_service/"]sessionConfiguration:sessionConfig];AFHTTPRequestSerializer *afHTTPRequestSerializer = [AFHTTPRequestSerializer serializer];afHTTPRequestSerializer.timeoutInterval = 30;_sessinonManager.requestSerializer = afHTTPRequestSerializer;AFJSONResponseSerializer *responseSerializer = [AFJSONResponseSerializer serializer];responseSerializer.acceptableContentTypes = [NSSet setWithObjects:@"text/html",@"text/json", nil];_sessinonManager.responseSerializer = responseSerializer;//https 配置证书NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"songchunmin" ofType:@"cer"];//证书的路径NSData *certData = [NSData dataWithContentsOfFile:cerPath];// AFSSLPinningModeCertificate 使用证书验证模式AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];// allowInvalidCertificates 是否允许无效证书（也就是自建的证书），默认为NO// 如果是需要验证自建证书，需要设置为YESsecurityPolicy.allowInvalidCertificates = YES;/*validatesDomainName 是否需要验证域名，默认为YES；假如证书的域名与你请求的域名不一致，需把该项设置为NO；如设成NO的话，即服务器使用其他可信任机构颁发的证书，也可以建立连接，这个非常危险，建议打开。置为NO，主要用于这种情况：客户端请求的是子域名，而证书上的是另外一个域名。因为SSL证书上的域名是独立的，假如证书上注册的域名是www.google.com，那么mail.google.com是无法验证通过的；当然，有钱可以注册通配符的域名*.google.com，但这个还是比较贵的。如置为NO，建议自己添加对应域名的校验逻辑。*/securityPolicy.validatesDomainName = NO;securityPolicy.pinnedCertificates = [NSSet setWithObject:certData];[_sessinonManager setSecurityPolicy:securityPolicy];[_sessinonManager GET:@"servlet/AppServlet" parameters:nil progress:nil success:^(NSURLSessionDataTask * _Nonnull task, id  _Nullable responseObject) {NSLog(@"responseObject:%@",responseObject);} failure:^(NSURLSessionDataTask * _Nullable task, NSError * _Nonnull error) {NSLog(@"responseObject:%@",error);}];}

使用AFNetworking3.0版本之前：

+ (AFSecurityPolicy*)customSecurityPolicy
{// /先导入证书NSString *cerPath = [[NSBundle mainBundle] pathForResource:@"hgcang" ofType:@"cer"];//证书的路径NSData *certData = [NSData dataWithContentsOfFile:cerPath];// AFSSLPinningModeCertificate 使用证书验证模式AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModeCertificate];// allowInvalidCertificates 是否允许无效证书（也就是自建的证书），默认为NO// 如果是需要验证自建证书，需要设置为YESsecurityPolicy.allowInvalidCertificates = YES;//validatesDomainName 是否需要验证域名，默认为YES；//假如证书的域名与你请求的域名不一致，需把该项设置为NO；如设成NO的话，即服务器使用其他可信任机构颁发的证书，也可以建立连接，这个非常危险，建议打开。//置为NO，主要用于这种情况：客户端请求的是子域名，而证书上的是另外一个域名。因为SSL证书上的域名是独立的，假如证书上注册的域名是www.google.com，那么mail.google.com是无法验证通过的；当然，有钱可以注册通配符的域名*.google.com，但这个还是比较贵的。//如置为NO，建议自己添加对应域名的校验逻辑。securityPolicy.validatesDomainName = NO;securityPolicy.pinnedCertificates = @[certData];return securityPolicy;
}

+ (void)post:(NSString *)url params:(NSDictionary *)params success:(void (^)(id))success failure:(void (^)(NSError *))failure
{// 1.获得请求管理者AFHTTPRequestOperationManager *mgr = [AFHTTPRequestOperationManager manager];// 2.申明返回的结果是text/html类型mgr.responseSerializer = [AFHTTPResponseSerializer serializer];// 加上这行代码，https ssl 验证。//[mgr setSecurityPolicy:[self customSecurityPolicy]];// 3.发送POST请求[mgr POST:url parameters:paramssuccess:^(AFHTTPRequestOperation *operation, id responseObj) {if (success) {success(responseObj);}} failure:^(AFHTTPRequestOperation *operation, NSError *error) {if (failure) {failure(error);}}];
}

---------------------------------------理论指导实践----------------------------------------------------

HTTPS

HTTPS就是将HTTP协议数据包放到SSL/TSL层加密后，在TCP/IP层组成IP数据报去传输，以此保证传输数据的安全；而对于接收端，在SSL/TSL将接收的数据包解密之后，将数据传给HTTP协议层，就是普通的HTTP数据。HTTP和SSL/TSL都处于OSI模型的应用层。

App Transport Security

iOS9中新增App Transport Security（简称ATS）特性, 主要使到原来请求的时候用到的HTTP，都转向TLS1.2协议进行传输。这也意味着所有的HTTP协议都强制使用了HTTPS协议进行传输。

一般我们如果还是使用的http,不更新的话，可通过在 Info.plist 中声明，倒退回不安全的网络请求。

<key>NSAppTransportSecurity</key><dict><key>NSAllowsArbitraryLoads</key><true/></dict>

但是如果我们要用https的话，也要注意的

These are the App Transport Security requirements:

The protocol Transport Security Layer (TLS) must be at least version 1.2.

Connection ciphers are limited to those that provide forward secrecy (see the list of ciphers below.)

Certificates must use at least an SHA256 fingerprint with either a 2048 bit or greater RSA key, or a 256 bit or greater Elliptic-Curve (ECC) key.

根据原文描述，首先必须要基于TLS 1.2版本协议。再来就是连接的加密方式要提供Forward Secrecy，文档中罗列出支持的加密算法（如下表）。最后就是证书至少要使用一个SHA256的指纹与任一个2048位或者更高位的RSA密钥，或者是256位或者更高位的ECC密钥。如果不符合其中一项，请求将被中断并返回nil。

第一条就是TLS版本所需要支持的协议

第一条就是连接的加密方式需要提供“Foward Secrecy”这个东东,下面是支持Forward Secrecy的加密方式

  TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA`TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256`TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHATLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

这是一个满足条件的证书信息中的情况

但是也要注意证书的合法性,注意是否有效，iOS要求连接的HTTPS站点必须为CA签名过的合法证书。

注意以上不同的情况决定了AFSecurityPolicy--setAllowInvalidCertificates:是否要验证证书的有效性。

使用AFNetworking中https的连接（3.0.0之前）

    AFHTTPRequestOperationManager *manager = [AFHTTPRequestOperationManager manager];AFSecurityPolicy *securityPolicy = [AFSecurityPolicy defaultPolicy];//allowInvalidCertificates 是否允许无效证书（也就是自建的证书），默认为NO//如果是需要验证自建证书，需要设置为YESsecurityPolicy.allowInvalidCertificates = YES;//validatesDomainName 是否需要验证域名，默认为YES；  securityPolicy.validatesDomainName = YES;manager.securityPolicy  = securityPolicy;manager.responseSerializer = [AFHTTPResponseSerializer serializer];[manager POST:urlString parameters:dic success:finishedBlock failure:failedBlock];

但是刚开始一直不行，不能正常访问数据

第一个错是我打开 Clarles,忘记关了
老出现`Error: Error Domain=NSURLErrorDomain Code=-1012

第二种情况，在google逛了一大圈，试着好几种方法居然不行，

转载于:https://www.cnblogs.com/songchunmin/p/7789721.html