背景

在http請求中某些url訪問需要具有權(quán)限認證,否則會返回401錯誤碼,這時需要你在請求頭中附帶授權(quán)的用戶名,密碼;或者使用https協(xié)議第一次與服務(wù)端建立連接的時候,服務(wù)端會發(fā)送iOS客戶端一個證書，這時我們需要驗證服務(wù)端證書鏈(certificate keychain)身害。
當我們遇到以上情況的時候NSURLSession(在iOS7以后網(wǎng)絡(luò)請求全部由NSURLSession來完成所以在此以NSURLSession為例)中的一個delegate會被調(diào)用:

 - (void)URLSession:(NSURLSession *)session
              task:(NSURLSessionTask *)task
didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge
 completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition disposition, NSURLCredential *credential))completionHandler

這個代理就是為了處理從服務(wù)端傳回的NSURLAuthenticationChallenge(認證),在NSURLAuthenticationChallenge的protectionSpace中存放了服務(wù)端返回的認證信息,我們需要根據(jù)這些信息來創(chuàng)建對應(yīng)的NSURLCredential(證書/憑證),并且設(shè)置對應(yīng)的NSURLSessionAuthChallengeDisposition(處理方式)來告訴NSURLSession來如何處理處服務(wù)端返回的個認證.

在NSURLSessionAuthChallengeDisposition中包含三種類型

 NSURLSessionAuthChallengePerformDefaultHandling：默認方式處理
 NSURLSessionAuthChallengeUseCredential：使用指定的證書
 NSURLSessionAuthChallengeCancelAuthenticationChallenge：取消

AFNetworking在代理中做了如下處理:

    NSURLSessionAuthChallengeDisposition disposition = NSURLSessionAuthChallengePerformDefaultHandling;
    __block NSURLCredential *credential = nil;

    if (self.sessionDidReceiveAuthenticationChallenge)
    {   // 自定義認證處理方式
        disposition = self.sessionDidReceiveAuthenticationChallenge(session, challenge, &credential);
    }
    else
    {   // 默認處理方式
        if ([challenge.protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust])
        {
            // 根據(jù)AFSecurityPolicy的默認規(guī)則判斷是否需要新建證書
            if ([self.securityPolicy evaluateServerTrust:challenge.protectionSpace.serverTrust forDomain:challenge.protectionSpace.host])
            {
                credential = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust]; // 根據(jù)服務(wù)器返回的challenge中的protectionSpace中的SecTrustRefwww創(chuàng)建證書
                if (credential) {
                    disposition = NSURLSessionAuthChallengeUseCredential; // 使用創(chuàng)建的證書
                } else {
                    disposition = NSURLSessionAuthChallengePerformDefaultHandling; //使用默認方式
                }
            }
            else
            {
                disposition = NSURLSessionAuthChallengeCancelAuthenticationChallenge;
            }
        }
        else
        {
            disposition = NSURLSessionAuthChallengePerformDefaultHandling;
        }
    }

    if (completionHandler) {
        completionHandler(disposition, credential);
    }

這個方法具體做了什么會在后面的文章中寫出,本文主要介紹的是NSURLCredential與NSURLAuthenticationChallenge.

NSURLCredential

在這個代理中是一個用來提供用戶和密碼涩维，或者是信任服務(wù)器證書憑證的證書類,主要有一下三種創(chuàng)建方式:

1.通過用戶名,密碼來創(chuàng)建證書,一般用于401錯誤的認證,或者其他需要用戶名密碼的認證

    - (instancetype)initWithUser:(NSString *)user password:(NSString *)password persistence:(NSURLCredentialPersistence)persistence;

2.通過從鑰匙串中取得一個客戶端證書來創(chuàng)建證書,一般用于服務(wù)端要認證客戶端的情況

    - (instancetype)initWithIdentity:(SecIdentityRef)identity certificates:(nullable NSArray *)certArray persistence:(NSURLCredentialPersistence)persistence

3.通過服務(wù)端傳回的SecTrustRef(包含待驗證的證書和支持的驗證方法等鲁猩。)對象創(chuàng)建證書,一般用于客戶端需要驗證服務(wù)端身份時使用

-(id)initWithTrust:(SecTrustRef)trust

你會發(fā)現(xiàn)前兩個構(gòu)造方法中都有一個NSURLCredentialPersistence參數(shù),這個參數(shù)一共含有三種類型

• NSURLCredentialPersistenceNone 不保存,只請求一次
• NSURLCredentialPersistenceForSession 只在本次會話中有效
• NSURLCredentialPersistencePermanent 永久有效,保存在鑰匙串中

NSURLProtectionSpace

在介紹NSURLAuthenticationChallenge之前先說一下NSURLAuthenticationChallenge中的一個屬性NSURLProtectionSpace這是權(quán)限認證的核心,它通常被稱為保護空間,表示需要認證的服務(wù)器或者域,它定義了一系列的約束去告訴我們需要向服務(wù)器提供什么樣的認證,這個保護空間含有以下幾個信息:

- (NSString *)realm; // 用于定義保護的區(qū)域,在服務(wù)端可以通過 realm 將不同的資源分成不同的域实撒，域的名稱即為 realm 的值敛滋，每個域可能會有自己的權(quán)限鑒別方案烦味。
- (BOOL)receivesCredentialSecurely; // 這個空間內(nèi)的證書是否能夠安全的發(fā)送
- (BOOL)isProxy; // 代理授權(quán)
- (NSString *)host; // 服務(wù)端主機地址苍凛，如果是代理則代理服務(wù)器地址
- (NSInteger)port; // 服務(wù)端端口地址徒扶，如果是代理則代理服務(wù)器的端口
- (NSString *)proxyType; // 代理類型粮彤，只對代理授權(quán)，比如http代理姜骡，socket代理等导坟。
- (NSString *)protocol; // 使用的協(xié)議，比如http,https, ftp等圈澈，
- (NSString *)authenticationMethod; // 指定授權(quán)方式惫周，比如401，客戶端認證康栈，服務(wù)端信任递递，代理等喷橙。
- (NSArray *)distinguishedNames; // 可接受的頒發(fā)機關(guān)客戶端證書身份驗證
- (SecTrustRef)serverTrust; // 用于服務(wù)端信任，指定一個信任對象,可以用這個對象來建立一個憑證登舞。

其中authenticationMethod中包含的認證類型如下:

NSURLProtectionSpaceHTTP // http協(xié)議
NSURLProtectionSpaceHTTPS // https協(xié)議
NSURLProtectionSpaceFTP // ftp協(xié)議
NSURLProtectionSpaceHTTPProxy // http代理
NSURLProtectionSpaceHTTPSProxy // https代理
NSURLProtectionSpaceFTPProxy // ftp代理
NSURLProtectionSpaceSOCKSProxy // socks代理
NSURLAuthenticationMethodDefault // 協(xié)議的默認身份認證
NSURLAuthenticationMethodHTTPBasic // http的basic認證,等同于NSURLAuthenticationMethodDefault
NSURLAuthenticationMethodHTTPDigest // http的摘要認證
NSURLAuthenticationMethodHTMLForm // html的表單認證
適用于任何協(xié)議
NSURLAuthenticationMethodNTLM // NTLM認證
NSURLAuthenticationMethodNegotiate // Negotiate認證
NSURLAuthenticationMethodClientCertificate // ssl證書認證,適用于任何協(xié)議
NSURLAuthenticationMethodServerTrust // ServerTrust認證,適用于任何協(xié)議

接下來就是NSURLAuthenticationChallenge類

NSURLAuthenticationChallenge

這是由服務(wù)端返回的權(quán)限認證類贰逾，中間包含如下信息:

- (NSURLProtectionSpace *)protectionSpace; // 這個函數(shù)返回一個類NSURLProtectionSpace，類中描述服務(wù)器中希望的認證方式以及協(xié)議菠秒，主機端口號等信息疙剑。
- (NSURLCredential *)proposedCredential; // 建議使用的證書
- (NSInteger)previousFailureCount; // 用戶密碼輸入失敗的次數(shù)。
- (NSURLResponse *)failureResponse; // 授權(quán)失敗的響應(yīng)頭的詳細信息
- (NSError *)error; // 最后一次授權(quán)失敗的錯誤信息

我們可以大致梳理下整體流程:

整體流程.png

當客戶端發(fā)出一個網(wǎng)絡(luò)請求的時候(圖中的第1,2步),服務(wù)端會收到來自客戶端的請求并作出響應(yīng)(圖中的第3步),這里服務(wù)端發(fā)現(xiàn)此請求需要輸入用戶名才能繼續(xù),所以客戶端返回了一個權(quán)限認證,這是客戶端中的NSURLSession的delegate會被調(diào)用,這時我們可以從challenge中的protectionSpace里的authenticationMethod屬性獲取到當前服務(wù)器需要我們提供什么類型的認證 (在圖中authenticationMethod為NSURLAuthenticationMethodHTTPDigest) ,根據(jù)不同的類型使用不同的方式創(chuàng)建需要處理的credential然后設(shè)置對應(yīng)的disposition參數(shù),然后通過completionHandler告訴Session如何處理此次的權(quán)限認證(其實最后最后session會將此憑證返回給服務(wù)端,再由服務(wù)端去校驗輸入用戶名密碼是否正確,如果正確便繼續(xù)請求,如果不正確的話會繼續(xù)返回認證).

結(jié)語

其實本文除了介紹NSURLCredential與NSURLAuthenticationChallenge外還大致講述了在http請求中的NSURLAuthenticationMethodHTTPDigest(摘要認證)認證的大致流程,在下一篇文章中會著重講述下https請求中的驗證以及客戶端的校驗過程践叠。

參考博文:
http://blog.csdn.net/wangyangzhizhou/article/details/51336038?utm_source=tuicool&utm_medium=referral
http://blog.csdn.net/u014084081/article/details/53610157
http://www.cnblogs.com/eileenleung/p/5237682.html
http://www.reibang.com/p/4b5d2d47833d
http://blog.csdn.net/tencent_bugly/article/details/54572899