974
英雄联盟
HTTPS业务场景解决方案__最佳实践_HTTPDNS-阿里云
1 背景说明
发送HTTPS请求首先要进行SSL/TLS握手,握手过程大致如下:
- 客户端发起握手请求,携带随机数、支持算法列表等参数。
- 服务端收到请求,选择合适的算法,下发公钥证书和随机数。
- 客户端对服务端证书进行校验,并发送随机数信息,该信息使用公钥加密。
- 服务端通过私钥获取随机数信息。
- 双方根据以上交互的信息生成session ticket,用作该连接后续数据传输的加密密钥。
上述过程中,和HTTPDNS有关的是第3步,客户端需要验证服务端下发的证书,验证过程有以下两个要点:
- 客户端用本地保存的根证书解开证书链,确认服务端下发的证书是由可信任的机构颁发的。
- 客户端需要检查证书的domain域和扩展域,看是否包含本次请求的host。
如果上述两点都校验通过,就证明当前的服务端是可信任的,否则就是不可信任,应当中断当前连接。
当客户端使用HTTPDNS解析域名时,请求URL中的host会被替换成HTTPDNS解析出来的IP,所以在证书验证的第2步,会出现domain不匹配的情况,导致SSL/TLS握手不成功。
2 解决方案
针对“domain不匹配”问题,可以采用如下方案解决:hook证书校验过程中第2步,将IP直接替换成原来的域名,再执行证书验证。
下面分别列出Android和iOS平台的示例代码。
2.1 Android示例
此示例针对HttpURLConnection接口。
try {String url = "https://140.205.160.59/?sprefer=sypc00";HttpsURLConnection connection = (HttpsURLConnection) new URL(url).openConnection();connection.setRequestProperty("Host", "m.taobao.com");connection.setHostnameVerifier(new HostnameVerifier() {/** 关于这个接口的说明,官方有文档描述:* This is an extended verification option that implementers can provide.* It is to be used during a handshake if the URL's hostname does not match the* peer's identification hostname.** 使用HTTPDNS后URL里设置的hostname不是远程的主机名(如:m.taobao.com),与证书颁发的域不匹配,* Android HttpsURLConnection提供了回调接口让用户来处理这种定制化场景。* 在确认HTTPDNS返回的源站IP与Session携带的IP信息一致后,您可以在回调方法中将待验证域名替换为原来的真实域名进行验证。**/@Overridepublic boolean verify(String hostname, SSLSession session) {return HttpsURLConnection.getDefaultHostnameVerifier().verify("m.taobao.com", session);return false;}});connection.connect();} catch (Exception e) {e.printStackTrace();} finally {}
2.2 iOS示例
此示例针对NSURLSession/NSURLConnection接口。
- (BOOL)evaluateServerTrust:(SecTrustRef)serverTrustforDomain:(NSString *)domain{/** 创建证书校验策略*/NSMutableArray *policies = [NSMutableArray array];if (domain) {[policies addObject:(__bridge_transfer id)SecPolicyCreateSSL(true, (__bridge CFStringRef)domain)];} else {[policies addObject:(__bridge_transfer id)SecPolicyCreateBasicX509()];}/** 绑定校验策略到服务端的证书上*/SecTrustSetPolicies(serverTrust, (__bridge CFArrayRef)policies);/** 评估当前serverTrust是否可信任,* 官方建议在result = kSecTrustResultUnspecified 或 kSecTrustResultProceed* 的情况下serverTrust可以被验证通过,https://developer.apple.com/library/ios/technotes/tn2232/_index.html* 关于SecTrustResultType的详细信息请参考SecTrust.h*/SecTrustResultType result;SecTrustEvaluate(serverTrust, &result);return (result == kSecTrustResultUnspecified || result == kSecTrustResultProceed);}/** NSURLConnection*/- (void)connection:(NSURLConnection *)connectionwillSendRequestForAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge{if (!challenge) {return;}/** URL里面的host在使用HTTPDNS的情况下被设置成了IP,此处从HTTP Header中获取真实域名*/NSString* host = [[self.request allHTTPHeaderFields] objectForKey:@"host"];if (!host) {host = self.request.URL.host;}/** 判断challenge的身份验证方法是否是NSURLAuthenticationMethodServerTrust(HTTPS模式下会进行该身份验证流程),* 在没有配置身份验证方法的情况下进行默认的网络请求流程。*/if ([challenge.protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust]){if ([self evaluateServerTrust:challenge.protectionSpace.serverTrust forDomain:host]) {/** 验证完以后,需要构造一个NSURLCredential发送给发起方*/NSURLCredential *credential = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];[[challenge sender] useCredential:credential forAuthenticationChallenge:challenge];} else {/** 验证失败,进入默认处理流程*/[[challenge sender] continueWithoutCredentialForAuthenticationChallenge:challenge];}} else {/** 对于其他验证方法直接进行处理流程*/[[challenge sender] continueWithoutCredentialForAuthenticationChallenge:challenge];}}/////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////** NSURLSession*/- (void)URLSession:(NSURLSession *)session task:(NSURLSessionTask *)taskdidReceiveChallenge:(NSURLAuthenticationChallenge *)challengecompletionHandler:(void (^)(NSURLSessionAuthChallengeDisposition disposition, NSURLCredential * __nullable credential))completionHandler{if (!challenge) {return;}NSURLSessionAuthChallengeDisposition disposition = NSURLSessionAuthChallengePerformDefaultHandling;NSURLCredential *credential = nil;/** 获取原始域名信息。*/NSString* host = [[self.request allHTTPHeaderFields] objectForKey:@"host"];if (!host) {host = self.request.URL.host;}if ([challenge.protectionSpace.authenticationMethod isEqualToString:NSURLAuthenticationMethodServerTrust]) {if ([self evaluateServerTrust:challenge.protectionSpace.serverTrust forDomain:host]) {disposition = NSURLSessionAuthChallengeUseCredential;credential = [NSURLCredential credentialForTrust:challenge.protectionSpace.serverTrust];} else {disposition = NSURLSessionAuthChallengePerformDefaultHandling;}} else {disposition = NSURLSessionAuthChallengePerformDefaultHandling;}// 对于其他的challenges直接使用默认的验证方案completionHandler(disposition,credential);}
最后更新:2016-11-23 17:16:07
上一篇: iOS SDK手册__SDK手册_HTTPDNS-阿里云
下一篇: 如何利用HTTPDNS降低DNS解析开销__最佳实践_HTTPDNS-阿里云
- 停止执行计划周期调度__执行计划_API参考_E-MapReduce-阿里云
- 购买云虚拟主机流量__流量购买_购买指导_云虚机主机-阿里云
- 阿里云日后发展的三大关键词:产品、数据、智联网
- 枚举类型__API参考_E-MapReduce-阿里云
- 查询别名__alias相关_API 列表_OpenAPI 2.0_移动推送-阿里云
- 在哪里可以查到SLB的权限定义___负载均衡(SLB)授权问题_授权常见问题_访问控制-阿里云
- CDN节点默认缓存策略__运维技术分享_技术运维问题_CDN-阿里云
- 使用实例创建自定义镜像__镜像_用户指南_云服务器 ECS-阿里云
- UploadServerCertificate__ServerCertificate相关API_API 参考_负载均衡-阿里云
- Windows平台使用说明__官方迁移工具_常用工具_对象存储 OSS-阿里云
相关内容
- 常见错误说明__附录_大数据计算服务-阿里云
- 发送短信接口__API使用手册_短信服务-阿里云
- 接口文档__Android_安全组件教程_移动安全-阿里云
- 运营商错误码(联通)__常见问题_短信服务-阿里云
- 设置短信模板__使用手册_短信服务-阿里云
- OSS 权限问题及排查__常见错误及排除_最佳实践_对象存储 OSS-阿里云
- 消息通知__操作指南_批量计算-阿里云
- 设备端快速接入(MQTT)__快速开始_阿里云物联网套件-阿里云
- 查询API调用流量数据__API管理相关接口_API_API 网关-阿里云
- 使用STS访问__JavaScript-SDK_SDK 参考_对象存储 OSS-阿里云