HTTP协议中之401授权认证机制以iOS上的实现。NSURLProtectionSpace 证书认证的上下文。

咱们以就此NSURLConnection或者NSURLSession进行HTTP请求时,有些URL因为急需授权认证要归401,因此客户端需要在HTTP的恳求头着拉动及用户以及密码进行授权认证(切实查看此);或者当我们用HTTPS协议时,一旦服务器提供的证件不为默认信任则用客户端人为确认是不是信任这个服务器证书;或者用HTTPS协议时服务端也需客户端提供证明进行双向认证时;或者我们是透过代理服务器来呼吁数据时客户端需要提供代理服务器的用户与密码进行说明。我们遂这些状况呢服务端要求客户端接收说明挑战(AuthenticationChallenge)

单NSURLProtectionSpace提供如下信:

当我们使用NSURLConnection来求需要挑战的页面的时delegate会先调用协议函数:

//401的印证方式的realm字段的价

(void)connection:(NSURLConnection*)connectionwillSendRequestForAuthenticationChallenge:(NSURLAuthenticationChallenge*)challenge。

(NSString*)realm;

为就算是如果发亟待征时不见面预先调用didReceiveResponse,而是先调用面的函数,下面介绍NSURLAuthenticationChallenge类,这个类似是印证挑战类,也就是求客户端进行挑战,要接挑战吧就算是客户端提供挑战的信(用户与密码,或者客户端证书,或者信任服务器证书,或者代理),IOS提供了一个NSURLCredential的近乎来代表挑战凭证。可以通过如下函数来确立挑战凭证

//401的说明方法,指定是否密码发送安全。

//通过用户密码建立凭证,这种用于401错误的挑战凭证和代理的挑战凭证
(id)initWithUser:(NSString*)user password:(NSString *)passwordpersistence:(NSURLCredentialPersistence)persistence;

//这种是要求客户端提供证书来建立的挑战凭证,用于服务器要认证客户端的情况,我们需要从钥匙串中得到一个客户端证书。
(id)initWithIdentity:(SecIdentityRef)identitycertificates:(NSArray *)certArraypersistence:(NSURLCredentialPersistence) persistence


//这种要求客户端的对服务器的信任来建立凭证,所谓SecTrust用来描述信任某个证书用来做什么的东西,比如一个证书可以用来做SSL,用来做签名,邮件安全(这个证书以及可以用来做什么来构造一个信任)
-(id)initWithTrust:(SecTrustRef)trustNS_AVAILABLE(10_6,3_0);

-(BOOL)receivesCredentialSecurely;

点的2丁证明中都出一个persistence值,这是一个枚举值用来描述是证的保留策略,一共来三种:

//代理授权

  • NSURLCredentialPersistenceNone, //不保存,只请一糟糕。
  • NSURLCredentialPersistenceForSession, //只在此次对话中行之有效
  • NSURLCredentialPersistencePermanent
    //永久有效,保存于钥匙串中,其他为中

-(BOOL)isProxy;

干什么服务器信任的信不欲保留到囤着,原因是服务器信任的凭证总是打服务器发给客户端的

//服务端主机地址,如果是代理则代理服务器地址

干什么而来保留策略也?想想如果我们不保留之说话我们每次都如进行用户手动处理极其累了,因此系统提供了一个地方来保存这些证据,这样咱们的挑战对象NSURLAuthenticationChallenge就好依据特殊的信(后面说明)来博这些信如不必要每次都亟需手动处理,这个保存之地方叫NSURLCredentialStorage是一个凭证存储类,这个近乎提供一个单例的点子来走访凭证存储对象。我们明白一个挑战是劳务器端向客户端发起的,所以提供一个信是基于服务端要求的音讯来确立的,我们的挑战类NSURLAuthenticationChallenge根据服务端要求的挑战方式,从证据存储类NSURLCredentialStorage中落一个有血有肉的信对象,然后接收挑战。而服务器要求的挑战方式我们因此一个类NSURLProtectionSpace叫做保护空间来描述。那么保护空间中来安信息呢?可以一定的凡包挑战的办法(401授权,客户端证书,服务端要求信任等,如果是这则会供一个SecTrust对象)、服务器的URL地址,端口号,协议等等。确实如此,一个NSURLProtectionSpace提供如下信:

-(NSString *)host;

//401的认证方式的realm字段的值
(NSString*)realm;
//401的认证方式,指定是否密码发送安全。
-(BOOL)receivesCredentialSecurely;
//代理授权
-(BOOL)isProxy;
//服务端主机地址,如果是代理则代理服务器地址
-(NSString *)host;

//服务端端口地址,如果是代理则代理服务器的端口
-(NSInteger)port;

//代理类型,只对代理授权,比如http代理,socket代理等。
-(NSString *)proxyType;

//使用的协议,比如http,https, ftp等,
-(NSString *)protocol;

//最关键字段,指定授权方式,比如401,客户端认证,服务端信任,代理等。
-(NSString *)authenticationMethod;

//客户端认证,是指定可接受的客户端证书列表??表示只有这些证书才可以??
-(NSArray *)distinguishedNames NS_AVAILABLE(10_6,3_0);

//用于服务端信任,指定一个信任对象,可以用这个对象来建立一个凭证。
-(SecTrustRef)serverTrust NS_AVAILABLE(10_6,3_0);

//服务端端口地址,如果是代理则代理服务器的端口

护卫空间的确立提供2单道:

-(NSInteger)port;

(id)initWithHost:(NSString*)host port:(NSInteger)port protocol:(NSString *)protocolrealm:(NSString *)realm authenticationMethod:(NSString*)authenticationMethod;

//代理的保护空间
-(id)initWithProxyHost:(NSString*)host port:(NSInteger)port type:(NSString *)type realm:(NSString*)realm authenticationMethod:(NSString *)authenticationMethod;


好了有了保护空间类,也凭证类我们就可以把信息从凭证空间读取或者保存了,凭证空间提供了如下的方法:

//根据保护空间得到凭证对象字典,这个字典的key是用户名,而value是NSURLCredential
-(NSDictionary *)credentialsForProtectionSpace:(NSURLProtectionSpace*)space;

//所有凭证对象字典,key是保护空间,value是一个字典,其中value的key是用户名字,value是凭证
-(NSDictionary *)allCredentials;

//保存凭证
-(void)setCredential:(NSURLCredential*)credential forProtectionSpace:(NSURLProtectionSpace *)space;

//删除凭证
-(void)removeCredential:(NSURLCredential*)credential forProtectionSpace:(NSURLProtectionSpace *)space;

//设置某个保护空间的默认凭证
-(NSURLCredential*)defaultCredentialForProtectionSpace:(NSURLProtectionSpace *)space;

//获取某个凭证空间的默认凭证
-(void)setDefaultCredential:(NSURLCredential*)credential forProtectionSpace:(NSURLProtectionSpace *)space;


当我们的凭证存储空间有变化时会发送FOUNDATION_EXPORTNSString *constNSURLCredentialStorageChangedNotification;通知。

//代理项目,只针对代理授权,比如http代理,socket代理等。

吓了说了这么多,然我们来延续看挑战类吧NSURLAuthenticationChallenge,一个挑战类会含有:保护空间信息,凭证类(如果局部话),

-(NSString *)proxyType;

夫仿佛的函数如下:

//使用的说道,比如http,https, ftp等,

//这个函数返回一个类NSURLProtectionSpace,类中描述服务器中希望的认证方式以及协议,主机端口号等信息。
(NSURLProtectionSpace*)protectionSpace;

//上次客户端接收挑战时所指定的认证的凭证,在没有指定时默认为nil
-(NSURLCredential*)proposedCredential;

//用户密码输入失败的重复次数。
-(NSInteger)previousFailureCount;

//也就是一个401响应头的详细信息。
-(NSURLResponse*)failureResponse;

//错误信息
-(NSError*)error;

//这个方法用来指定客户端如何来接收挑战。也就是客户端在处理willSendRequestForAuthenticationChallenge函数的最后必须指定接收挑战的方式。客户端可以调用sender中的协议指定的方法来执行接收挑战的方式。这个sender是系统实现的,客户端只要调用就可以了。
(id<NSURLAuthenticationChallengeSender>)sender;

//上面的sender是我们需要告诉服务器我们如何来接受挑战,这个协议实现了如下函数:
@protocolNSURLAuthenticationChallengeSender <NSObject>

//如果用户接收挑战则需要用户提供一个授权的凭证credential,用户需要建立这个凭证NSURLCredential对象。
-(void)useCredential:(NSURLCredential*)credential forAuthenticationChallenge:(NSURLAuthenticationChallenge*)challenge;

//告诉服务器我不管他要认证我继续处理不用输入认证用户和密码,如果调用了这个函数则会调用URLConnection的delegate的didReceiveResponse函数并且响应为401
-(void)continueWithoutCredentialForAuthenticationChallenge:(NSURLAuthenticationChallenge*)challenge;

//如果调用这个函数则我表示我不接收挑战了,这时候会调用URLConnection的delegate的didFailWithError函数表示错误了。
(void)cancelAuthenticationChallenge:(NSURLAuthenticationChallenge*)challenge;
@end

-(NSString *)protocol;

俺们更来捋顺一下逻辑,当我们发送请求到服务端时,服务端需要我们挑战时见面当客户端创建一个挑战对象NSURLAuthenticationChallenge,其中的保护空间NSURLProtectionSpace由服务器响应的音信来构建,而<NSURLAuthenticationChallengeSender>sender则中构建,然后挑战对象见面依据保障空间由信存储着得到相应的凭证对象,如果来凭据对象则会将信对象赋值给数成员proposedCredential,建立挑战对象后判断时产生没有发出落实NSURLConnection的willSendRequestForAuthenticationChallenge的函数,如果没实现则基于信对象来调用sender的领挑战或者失败函数,而只要是咱们实现了willSendRequestForAuthenticationChallenge就需我们自己来处理如何接纳挑战了,注意当我们调用sender的收取挑战函数,这个函数内部会把证和保障空间保存及证据存储着去,以便下次继续利用(当然好透过控制凭证的持久属性来控制是否保存)。因此片上咱们可以于系统面临先行植入一些特定服务器的护空间以及信,这样我们即便不需要去处理willSendRequestForAuthenticationChallenge函数了,这种机制特别实用的用于拍卖webview来访问有些要授权的要么https或者代理等等。

//最重大字段,指定授权法,比如401,客户端认证,服务端信任,代理等。


-(NSString *)authenticationMethod;

末尾欢迎大家看我之github站点,关注欧阳大哥2013。

//客户端认证,是点名可接受的客户端证书列表??表示除非这些证件才可??

-(NSArray *)distinguishedNames NS_AVAILABLE(10_6,3_0);

//用于服务端信任,指定一个相信对象,可以据此者目标来树一个证。

-(SecTrustRef)serverTrust NS_AVAILABLE(10_6,3_0);

保护空间的确立提供2个措施:

(id)initWithHost:(NSString*)host port:(NSInteger)port
protocol:(NSString *)protocolrealm:(NSString *)realm
authenticationMethod:(NSString*)authenticationMethod;

//代理的护空间

-(id)initWithProxyHost:(NSString*)host port:(NSInteger)port
type:(NSString *)type realm:(NSString*)realm
authenticationMethod:(NSString *)authenticationMethod;

吓了出矣维护空间类,也凭证类我们虽得把消息从证据空间读取或者封存了,凭证空间提供了如下的方式:

//根据保障空间得到凭证对象字典,这个字典的key是用户称,而value是NSURLCredential

-(NSDictionary
*)credentialsForProtectionSpace:(NSURLProtectionSpace*)space;

//所有证对象字典,key是保安空间,value是一个字典,其中value的key是用户名字,value是据

-(NSDictionary *)allCredentials;

//保存证据

-(void)setCredential:(NSURLCredential*)credential
forProtectionSpace:(NSURLProtectionSpace *)space;

//删除凭证

-(void)removeCredential:(NSURLCredential*)credential
forProtectionSpace:(NSURLProtectionSpace *)space;

//设置有保护空间的默认凭证

-(NSURLCredential*)defaultCredentialForProtectionSpace:(NSURLProtectionSpace
*)space;

//获取有凭证空间的默认凭证

-(void)setDefaultCredential:(NSURLCredential*)credential
forProtectionSpace:(NSURLProtectionSpace *)space;

当我们的凭据存储空间来变动时见面发送FOUNDATION_EXPORTNSString
*constNSURLCredentialStorageChangedNotification;通知。

吓了游说了这样多,然我们来继承看挑战类吧NSURLAuthenticationChallenge,一个挑战类会含有:保护空间信息,凭证类(如果部分言语),

 

我们又来捋顺一下逻辑,当我们发送请求到服务端时,服务端需要我们挑战时见面在客户端创建一个挑战对象NSURLAuthenticationChallenge,其中的护空间NSURLProtectionSpace由服务器响应的信息来构建,而<NSURLAuthenticationChallengeSender>sender则中构建,然后挑战对象会因维护空间从证据存储着取得相应之证据对象,如果起证据对象则会把信对象赋值给多少成员proposedCredential,建立挑战对象后判断当前发没有出落实NSURLConnection的willSendRequestForAuthenticationChallenge的函数,如果没实现则根据信对象来调用sender的收受挑战或者失败函数,而而是我们落实了willSendRequestForAuthenticationChallenge就得我们团结来拍卖如何接纳挑战了,注意当我们调用sender的接收挑战函数,这个函数内部会拿证及护卫空间保存及证据存储着失,以便下次继续采取(当然可以通过控制凭证的持久属性来控制是否保存)。因此有的时候我们得在系受先行植入一些一定服务器的维护空间及证据,这样咱们虽未待去处理willSendRequestForAuthenticationChallenge函数了,这种体制特别有效之用来拍卖webview来访问有些需要授权的或者https或者代理等等。

 

http://blog.csdn.net/antjumper/article/details/51567945

相关文章

admin

网站地图xml地图