在移动应用开发中，网络安全是重中之重。使用HTTPS协议加密数据传输已成为行业标准，而AFNetworking作为iOS开发中常用的网络库，其HTTPS证书配置的正确性直接关系到用户数据的安全性。本文将深入解析AFNetworking中HTTPS证书的配置方法，并通过实际案例说明常见的安全隐患与解决方案。

一、为什么HTTPS证书如此重要？

HTTPS通过SSL/TLS协议对通信内容加密，防止数据被窃取或篡改。而证书（如CA颁发的SSL证书）的作用是验证服务器身份，确保客户端连接的是“真正的”服务器，而非中间人伪装的恶意节点。

举个例子：

假设你的App请求银行接口 `https://api.bank.com`，如果未正确校验证书，攻击者可能伪造一个相似的域名（如 `https://api.bank.fake.com`）并诱导用户连接，从而窃取账号密码。

二、AFNetworking中HTTPS证书的配置方法

AFNetworking默认会校验服务器的证书链（由系统信任的CA机构签发），但在某些场景下需要自定义配置，例如：

1. 使用自签名证书（常见于企业内部测试环境）。

2. 固定证书（Certificate Pinning）（防止CA机构被攻破导致信任链失效）。

1. 基础配置：信任合法CA颁发的证书

如果你的服务端使用正规CA（如DigiCert、Let's Encrypt）签发的证书，只需确保ATS（App Transport Security）已开启：

```swift

let manager = AFHTTPSessionManager(baseURL: URL(string: "https://api.yourdomain.com"))

manager.requestSerializer = AFJSONRequestSerializer()

manager.responseSerializer = AFJSONResponseSerializer()

```

此时AFNetworking会自动校验证书的有效性和域名匹配。

2. 高级配置：自定义证书校验

若需强制校验特定证书（例如自签名证书），可通过`AFSecurityPolicy`实现：

let policy = AFSecurityPolicy(pinningMode: .certificate)

policy.pinnedCertificates = [/* 加载你的DER格式证书 */]

policy.allowInvalidCertificates = false // 禁止无效证书

policy.validatesDomainName = true // 校验域名

manager.securityPolicy = policy

关键参数说明:

- `pinningMode`: `.certificate`表示固定具体证书；`.publicKey`则只校验公钥（兼容证书续期）。

- `allowInvalidCertificates`: 仅限测试环境设为`true`，生产环境必须为`false`！

三、常见安全隐患与解决方案

1. 错误示例：关闭所有证书验证

let policy = AFSecurityPolicy(pinningMode: .none)

policy.allowInvalidCertificates = true // ??危险！相当于禁用HTTPS保护

后果: 中间人攻击可轻松解密所有流量。

2. 正确实践：固定可信公钥

推荐使用`.publicKey`模式而非固定完整证书，避免因证书到期导致App无法连接：

let policy = AFSecurityPolicy(pinningMode: .publicKey)

policy.pinnedCertificates = Certificates.allCases // 预置多个备用公钥

3. 动态更新证书（企业级方案）

对于高频更新证书的场景（如金融App），可通过服务端下发最新的公钥哈希列表，客户端比对后再决定是否信任。

四、测试与验证工具推荐

1. Charles Proxy: 抓包工具模拟中间人攻击，测试App是否会拒绝非法证书。

2. openssl命令行: 提取服务端公钥用于Pinning配置：

```bash

openssl s_client -connect api.yourdomain.com:443 | openssl x509 -pubkey -noout

```

五、

- ? 生产环境必须开启完整的HTTPS验证（禁用`allowInvalidCertificates`）。

- ? 优先使用`.publicKey`模式平衡安全性与灵活性。

- ? 切勿为“省事”关闭校验！一个疏忽可能导致用户数据泄露。

通过合理配置AFNetworking的HTTPS策略，开发者能有效抵御中间人攻击，为用户数据保驾护航。

TAG:afnetworking https 证书,afrdi认证,afaq认证证书,afia认证,afai证书