Swift使用HTTPS

关于iOS中使用HTTPS这件事情，很长时间一直没有彻底弄清楚。看了别人很多文章，今天终于基本都搞清楚了所有疑问，这里抽关键点来讲一讲。以回答问题的方式。

1. HTTPS到底是个什么鬼？

SSL+HTTP
就是在HTTP传输之前，先给数据做非对称加密，客户端用公钥加解密，服务器用私钥加解密。公钥大家都可见，私钥保密，不能外泄。

HTTPS主要目的是保证传输通道的安全性
- 对于请求数据(Request)，中间人没有私钥无法解密，看不到原始请求数据
- 对于服务器的响应数据(Response)，中间人虽然有公钥，可以解密，但是没有私钥，改了数据也没法重新加密

综上，所以中间人就无法修改通信数据。

2. 证书又是个什么鬼？

• 数字证书是由证书认证机构（CA）对证书申请者真实身份验证之后，用CA的根证书对申请人的一些基本信息以及申请人的公钥进行签名（相当于加盖发证书机构的公章）后形成的一个数字文件。CA完成签发证书后，会将证书发布在CA的证书库（目录服务器）中，任何人都可以查询和下载，因此数字证书和公钥一样是公开的。
• 每个证书持有人都有一对公钥和私钥，这两把密钥可以互为加解密。公钥是公开的，不需要保密，而私钥是由证书持有人自己持有，并且必须妥善保管和注意保密。
• 简单地说，数字证书就是经过CA认证过的公钥，而私钥一般情况都是由证书持有者在自己本地生成的，由证书持有者自己负责保管。

3. 证书认证机构（CA）签发的证书怎么用？

此类证书，iOS端开发什么都不用处理，获取并校验证书的过程底层已经帮忙完成了，具体是SSL层还是苹果的ATS做的我也没有彻底弄清楚（估计应该是ATS做的，如果你知道，请赐教！）

4. 自签证书怎么用？

自签名的证书iOS9.0之后的系统通过不了ATS，所以要做一些适配：
- 证书导出.cer文件拷贝到项目目录
- 然后在 info.plist 中添加
NSAppTransportSecurity
NSAllowsArbitraryLoads

- 在NSURLSessionDataDelegate的对应回调方法中自己校验证书合法行，然后告诉服务器校验结果：

具体代理方法：
“`swift
func urlSession(_ session: URLSession,didReceive challenge: URLAuthenticationChallenge,completionHandler: @escaping (URLSession.AuthChallengeDisposition,URLCredential?) -> Void)

具体代码： ```swift /** a delegate method to check whether the remote cartification is the same with given certification. - parameter session: NSURLSession - parameter challenge: NSURLAuthenticationChallenge - parameter completionHandler: the completionHandler closure */ @objc(URLSession:didReceiveChallenge:completionHandler:) func urlSession(_ session: URLSession,completionHandler: @escaping (URLSession.AuthChallengeDisposition,URLCredential?) -> Void) { if let localCertificateData = self.localCertData { if let serverTrust = challenge.protectionSpace.serverTrust,let certificate = SecTrustGetCertificateAtIndex(serverTrust,0) { let remoteCertificateData: Data = SecCertificateCopyData(certificate) as Data // 证书校验：这里直接比较本地证书文件内容 和 服务器返回的证书文件内容 if localCertificateData as Data == remoteCertificateData { let credential = URLCredential(trust: serverTrust) challenge.sender?.use(credential,for: challenge) // 证书校验通过 completionHandler(Foundation.URLSession.AuthChallengeDisposition.useCredential,credential) } else { challenge.sender?.cancel(challenge) // 证书校验不通过 completionHandler(Foundation.URLSession.AuthChallengeDisposition.cancelAuthenticationChallenge,nil) self.sSLValidateErrorCallBack?() } } else { // could not tested print("Pitaya: Get RemoteCertificateData or LocalCertificateData error!") } } else { completionHandler(Foundation.URLSession.AuthChallengeDisposition.useCredential,nil) } }

使用第三方框架，过程是一样的，只是框架加了一层自己的方法，暴露出来的方法不一样而已。

5. 补充

iOS对证书是有要求的：
- 必须是苹果信任的CA证书机构颁发的证书
- 后台传输协议必须满足: TLS1.2 (这很重要,后面的自制证书满足这个条件是前提)
- 签字算法只能是下面的一种:

• 证书必须使用SHA256或者更好的哈希算法进行签名，要么是2048位或者更长的RSA密钥，要么就是256位或更长的ECC密钥。

6. 参考

Swift - 使用URLSession通过HTTPS进行网络请求，及证书的使用
Swift - HTTP网络操作库Alamofire使用详解
关于HTTPS，APP开发者必须知道的事

我的简书地址