AFNetwork ATS 网络层改造

时间:2021-05-07 15:13:13

最近一直做项目的ATS改造,期间遇到了种种问题,各种坑都记录下来,

比如iOS版本、afnetwork版本、证书(是否为自签证书)、域名验证、TLS版本等等,我们项目更复杂,还使用了域名到IP映射的路由表策略,在验证自签证书的时候各种配置host,这种需求在文章里就不赘述了,有相似需求的可以私下讨论:

有描述不对的地方,欢迎大神指正!

先鬼扯点儿小背景,不喜请略过黄色部分:)

关于ATS,简单说就是app使用的网络请求都必须走https,iOS9以后,此设置默认开启,项目中所有的http请求直接被系统block了,

当然会有一些例外,可以在info.plist配置第三方域名时使用,如下:

  • NSAllowsArbitraryLoads  设置app禁用ATS,将在2017年1月1日后要求不能禁用

  • NSAllowsArbitraryLoadsInMedia  可以使用AVFoundation播放音视频不使用https

  • NSAllowsArbitraryLoadsInWebContent 可以在内置浏览器(WKWebView、UIWebView)中使用普通http请求

  • NSExceptionAllowsInsecureHTTPLoads 可以设置域名使用http请求或者没有证书、使用自签证书、证书过期、证书不匹配等等不安全请求

  • NSExceptionMinimumTLSVersion      可以设置一些https服务协商的TLS版本低于1.2

具体的配置可以参考官方文档:

https://developer.apple.com/library/content/documentation/General/Reference/InfoPlistKeyReference/Articles/CocoaKeys.html#//apple_ref/doc/uid/TP40009251-SW58

按照苹果官方的说法,对证书、域名、IP都有严格的要求,这些在配置服务器证书时都要注意

比如证书:

The X.509 digital server certificate must meet at least one of the following trust requirements:

  • Issued by a certificate authority (CA) whose root certificate is incorporated into the operating system

  • Issued by a trusted root CA and installed by the user or a system administrator

即要求证书要么是正规CA颁发机构颁发的,根证书集成在系统中;要么是被用户手动安装到系统中。而且证书必须得是至少使用SHA-256加密算法

其次,TLS version must be TLS 1.2

加密方式也有要求:AES-128 or AES-256 等等等等

关于ATS的限制范围,苹果是这么说的:

ATS 只适用于host name,对下列情况不会限制:

  • IP地址(关于这一点,苹果系统在iOS9和10表现不一致,启用ATS后,在iOS10上,使用IP地址是不被限制的,但是在iOS9上会被block)

  • 非法host names(有谁知道什么是非法的么?)

  • 本地服务,如local域名

如果使用上述说的非法host name 或者本地服务,请设置NSAllowsLocalNetworking key to YES.

进入正题,客户端 AFNetwork适配:

关于网络层,大部分app都是用了AFNetwork作为依赖库实现,这里就从AFNetwork开始:

其实改造https的时候可以先不用启用ATS,改造完以后再启用就行。

AFNetwork ATS 网络层改造

AFNetwork针对https封装了证书、域名验证的逻辑,主要集中在AFSecurityPolicy,先从最简单的说,

正规CA证书:

如果使用的CA证书是从正规机构购买,那么配置就比较简单:

AFNetwork ATS 网络层改造

使用以上设置,就完成了https 功能的支持。

关于配置项,AFSecurityPolicy使用默认的安全策略,不允许非法证书(一般是自签证书),强制要求验证域名,

当然这些设置也是默认设置,直接省略后两行代码也可。

自签证书:

如果使用自签证书,就需要走第二套方案:(让用户把证书安装到手机这招就算了,可行性几乎为0,除非你的app跟12306一样牛逼)

首先需要把证书cer文件导入到app中,剩下的工作,AFNetwork会帮你搞定,它会自动扫描bundle中的cer文件,并制作证书信任锚点,

比CA证书多一步导入文件,即可

下面简单聊聊AFNetwork 的验证机制吧

关于这一点,我在看AFNetwork源码时有个疑问,它在扫描bundle时用的[NSBundle bundleForClass:[self class]],

而不是用的[NSBundle mainBundle],我在测试过程中遇到过一次前者返回的bundle为AFNetwork的bundle,所以读取不到cer文件,这样的话引入到工程中的cer文件肯定扫描不到吧。。。,有很多导入cer文件时手动读取的方式:如下:

 //创建证书data
NSData*certData =[NSData dataWithContentsOfFile:[[NSBundle mainBundle] pathForResource:@"HTTPS" ofType:@"cer"]];
SecCertificateRef rootcert = SecCertificateCreateWithData(kCFAllocatorDefault,CFBridgingRetain(certData));
const void *array[1] = { rootcert };
certs = CFArrayCreate(NULL, array, 1, &kCFTypeArrayCallBacks);

 anyway,无论是AFNetwork自动扫描还是手动导入,最终目的都是验证证书

AFNetwork其实也是使用系统验证证书链的方式,首先将服务器返回的证书信息添加到验证策略:

AFNetwork ATS 网络层改造

然后使用系统方式验证证书链:

AFNetwork ATS 网络层改造

以上就通过了证书验证,接下来还有进行域名验证,

AFNetwork ATS 网络层改造

以上主要是将app中的证书和域名进行验证