雖然使用了HTTPS協(xié)議進(jìn)行通信撬碟，但我們的網(wǎng)絡(luò)仍然可以被嗅探監(jiān)聽呢蛤。
我們可以采取SSL Pinning的方式來避免這種事情發(fā)生银室。

使用AFNetworking和SSL綁定實(shí)現(xiàn)安全連接。

SSL Pinning

SSL Pinning，即SSL證書綁定否过。通過SSL證書綁定來驗(yàn)證服務(wù)器身份告组，防止應(yīng)用被抓包便锨。

取到證書

客戶端需要證書(Certification file)， .cer格式的文件桥胞《邪眨可以跟服務(wù)器端索取。
如果他們給個(gè).pem文件咽袜，要使用命令行轉(zhuǎn)換：

openssl x509 -inform PEM -in name.pem -outform DER -out name.cer

如果給了個(gè).crt文件，請(qǐng)這樣轉(zhuǎn)換：

openssl x509 -in name.crt -out name.cer -outform der

如果啥都不給你枕稀，你只能自己動(dòng)手了：

openssl s_client -connect www.website.com:443 </dev/null 2>/dev/null | openssl x509 -outform DER > myWebsite.cer

好询刹，我們拿到證書了。

把證書加進(jìn)項(xiàng)目中

把生成的.cer證書文件直接拖到你項(xiàng)目的相關(guān)文件夾中萎坷，記得勾選Copy items if neede和Add to targets凹联。

AFSecurityPolicy

SSLPinningMode

AFSecurityPolicy是AFNetworking中網(wǎng)絡(luò)通信安全策略模塊。它提供三種SSL Pinning Mode

/**
 ## SSL Pinning Modes

 The following constants are provided by `AFSSLPinningMode` as possible SSL pinning modes.

 enum {
 AFSSLPinningModeNone,
 AFSSLPinningModePublicKey,
 AFSSLPinningModeCertificate,
 }

 `AFSSLPinningModeNone`
 Do not used pinned certificates to validate servers.

 `AFSSLPinningModePublicKey`
 Validate host certificates against public keys of pinned certificates.

 `AFSSLPinningModeCertificate`
 Validate host certificates against pinned certificates.
*/

AFSSLPinningModeNone：完全信任服務(wù)器證書哆档；
AFSSLPinningModePublicKey：只比對(duì)服務(wù)器證書和本地證書的Public Key是否一致蔽挠，如果一致則信任服務(wù)器證書；
AFSSLPinningModeCertificate：比對(duì)服務(wù)器證書和本地證書的所有內(nèi)容瓜浸，完全一致則信任服務(wù)器證書澳淑；

選擇那種模式呢?
AFSSLPinningModeCertificate：最安全的比對(duì)模式。但是也比較麻煩斟叼，因?yàn)樽C書是打包在APP中偶惠，如果服務(wù)器證書改變或者到期春寿，舊版本無法使用了朗涩，我們就需要用戶更新APP來使用最新的證書。
AFSSLPinningModePublicKey：只比對(duì)證書的Public Key绑改，只要Public Key沒有改變谢床，證書的其他變動(dòng)都不會(huì)影響使用。
如果你不能保證你的用戶總是使用你的APP的最新版本厘线，所以我們使用AFSSLPinningModePublicKey识腿。

allowInvalidCertificates

/**
 Whether or not to trust servers with an invalid or expired SSL certificates. Defaults to `NO`.
 */
@property (nonatomic, assign) BOOL allowInvalidCertificates;

是否信任非法證書，默認(rèn)是NO造壮。

validatesDomainName

/**
 Whether or not to validate the domain name in the certificate's CN field. Defaults to `YES`.
 */
@property (nonatomic, assign) BOOL validatesDomainName;

是否校驗(yàn)證書中DomainName字段渡讼，它可能是IP,域名如*.google.com骂束，默認(rèn)為YES，嚴(yán)格保證安全性成箫。

使用AFSecurityPolicy設(shè)置SLL Pinning

+ (AFHTTPSessionManager *)manager
{
    static AFHTTPSessionManager *manager = nil;
    static dispatch_once_t onceToken;
    dispatch_once(&onceToken, ^{
    
        NSURLSessionConfiguration *config = [NSURLSessionConfiguration defaultSessionConfiguration];
        manager =  [[AFHTTPSessionManager alloc] initWithSessionConfiguration:config];

        AFSecurityPolicy *securityPolicy = [AFSecurityPolicy policyWithPinningMode:AFSSLPinningModePublicKey withPinnedCertificates:[AFSecurityPolicy certificatesInBundle:[NSBundle mainBundle]]];
        manager.securityPolicy = securityPolicy;
    });
    return manager;
}

OK展箱，現(xiàn)在我們使用manger的請(qǐng)求都是安全連接了。