自2017年1月1日起,提交到App Store的所有APP必須遵循ATS(App Transport Security)晰骑。也就是說,應(yīng)用內(nèi)的網(wǎng)絡(luò)連接必須使用安全連接。
前言##
HTTPS最初由網(wǎng)景公司使用杠人,在HTTP應(yīng)用層使用SSL協(xié)議保證數(shù)據(jù)安全,故稱HTTPS宋下。隨著SSL的發(fā)展嗡善,演變?yōu)門SL。具體區(qū)別和聯(lián)系可以參照這篇Blog——SSL與TLS 區(qū)別以及介紹学歧。本文主要講述如何在iOS中適配罩引,對于HTTPS原理不多做解釋。這里需要強(qiáng)調(diào)的是TSL 1.2以上的HTTPS是完全正向保密(Perfect Forward Secrecy)的枝笨,而1.2以前的版本則存在以后被破解的風(fēng)險袁铐。這一點(diǎn)涉及到后面的APP配置揭蜒,需要留意。
設(shè)置Info.plist##
為了適配iOS9下的HTTP請求,很多人在Info.plist中做了如下設(shè)置剔桨。
<key>NSAppTransportSecurity</key>
<dict>
<key>NSAllowsArbitraryLoads</key>
<true/>
</dict>
如今HTTP即將成為歷史,這個設(shè)置也大可以刪掉屉更。
如果你使用TSL 1.2(含)以上的HTTPS連接,是無需設(shè)置的洒缀。如果你使用1.2以下的HTTPS連接瑰谜,還需要做以下設(shè)置。
<key>NSAppTransportSecurity</key>
<dict>
<key>NSExceptionDomains</key>
<dict>
<key>domain-name-string</key>
<dict>
<key>NSExceptionRequiresForwardSecrecy</key>
<false/>
</dict>
</dict>
</dict>
這里還有一個NSIncludesSubdomains用于配置允許子域名訪問的树绩,可以按需設(shè)置萨脑。
代理中處理證書##
這里使用Swift2.3(與Swift2.2幾乎一樣),日后可能更新Swift3的代碼饺饭。在NSURLSession的delegate里渤早,做如下處理。
func URLSession(session: NSURLSession, didReceiveChallenge challenge: NSURLAuthenticationChallenge, completionHandler: (NSURLSessionAuthChallengeDisposition, NSURLCredential?) -> Void) {
if challenge.protectionSpace.authenticationMethod == NSURLAuthenticationMethodServerTrust {
let credential = NSURLCredential(forTrust: challenge.protectionSpace.serverTrust!)
completionHandler(.UseCredential, credential)
}
}
func URLSession(session: NSURLSession, dataTask: NSURLSessionDataTask, didReceiveResponse response: NSURLResponse, completionHandler: (NSURLSessionResponseDisposition) -> Void) {
completionHandler(.Allow)
}
Tips##
使用如下指令可以不同參數(shù)下查詢ATS狀態(tài)瘫俊。
? ~ /usr/bin/nscurl --ats-diagnostics --verbose https://apple.com
