全部产品
存储与CDN 数据库 安全 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 阿里云办公 培训与认证 物联网
HTTPDNS

iOS HTTPS SNI 业务场景“IP直连”方案说明

更新时间:2017-09-30 16:57:39   分享:   

概述

SNI(单IP多HTTPS证书)场景下,iOS上层网络库 NSURLConnection/NSURLSession 没有提供接口进行 SNI 字段 配置,因此需要 Socket 层级的底层网络库例如 CFNetwork,来实现 IP 直连网络请求适配方案。而基于 CFNetwork 的解决方案需要开发者考虑数据的收发、重定向、解码、缓存等问题(CFNetwork是非常底层的网络实现)。

针对 SNI 场景的方案, Socket 层级的底层网络库,大致有两种:

  • 基于 CFNetWork ,hook 证书校验步骤。
  • 基于原生支持设置 SNI 字段的更底层的库,比如 libcurl。

下面将目前面临的一些挑战,以及应对策略介绍一下:

支持 Post 请求

使用 NSURLProtocol 拦截 NSURLSession 请求丢失 body,故有以下几种解决方法:

方案如下:

使用 HTTPBodyStream 获取 body,并赋值到 body 中,具体的代码如下,可以解决上面提到的问题:

  1. //
  2. // NSURLRequest+NSURLProtocolExtension.h
  3. //
  4. //
  5. // Created by ElonChan on 28/07/2017.
  6. // Copyright © 2017 ChenYilong. All rights reserved.
  7. //
  8. #import <Foundation/Foundation.h>
  9. @interface NSURLRequest (NSURLProtocolExtension)
  10. - (NSURLRequest *)httpdns_getPostRequestIncludeBody;
  11. @end
  12. //
  13. // NSURLRequest+NSURLProtocolExtension.h
  14. //
  15. //
  16. // Created by ElonChan on 28/07/2017.
  17. // Copyright © 2017 ChenYilong. All rights reserved.
  18. //
  19. #import "NSURLRequest+NSURLProtocolExtension.h"
  20. @implementation NSURLRequest (NSURLProtocolExtension)
  21. - (NSURLRequest *)httpdns_getPostRequestIncludeBody {
  22. return [[self httpdns_getMutablePostRequestIncludeBody] copy];
  23. }
  24. - (NSMutableURLRequest *)httpdns_getMutablePostRequestIncludeBody {
  25. NSMutableURLRequest * req = [self mutableCopy];
  26. if ([self.HTTPMethod isEqualToString:@"POST"]) {
  27. if (!self.HTTPBody) {
  28. uint8_t d[1024] = {0};
  29. NSInputStream *stream = self.HTTPBodyStream;
  30. NSMutableData *data = [[NSMutableData alloc] init];
  31. [stream open];
  32. while ([stream hasBytesAvailable]) {
  33. NSInteger len = [stream read:d maxLength:1024];
  34. if (len > 0 && stream.streamError == nil) {
  35. [data appendBytes:(void *)d length:len];
  36. }
  37. }
  38. req.HTTPBody = [data copy];
  39. [stream close];
  40. }
  41. }
  42. return req;
  43. }
  44. @end

使用方法:

在用于拦截请求的 NSURLProtocol 的子类中实现方法 +canonicalRequestForRequest: 并处理 request 对象:

  1. + (NSURLRequest *)canonicalRequestForRequest:(NSURLRequest *)request {
  2. return [request httpdns_getPostRequestIncludeBody];
  3. }

下面介绍下相关方法的作用:

  1. //NSURLProtocol.h
  2. /*!
  3. @method canInitWithRequest:
  4. @abstract This method determines whether this protocol can handle
  5. the given request.
  6. @discussion A concrete subclass should inspect the given request and
  7. determine whether or not the implementation can perform a load with
  8. that request. This is an abstract method. Sublasses must provide an
  9. implementation.
  10. @param request A request to inspect.
  11. @result YES if the protocol can handle the given request, NO if not.
  12. */
  13. + (BOOL)canInitWithRequest:(NSURLRequest *)request;
  14. /*!
  15. @method canonicalRequestForRequest:
  16. @abstract This method returns a canonical version of the given
  17. request.
  18. @discussion It is up to each concrete protocol implementation to
  19. define what "canonical" means. However, a protocol should
  20. guarantee that the same input request always yields the same
  21. canonical form. Special consideration should be given when
  22. implementing this method since the canonical form of a request is
  23. used to look up objects in the URL cache, a process which performs
  24. equality checks between NSURLRequest objects.
  25. <p>
  26. This is an abstract method; sublasses must provide an
  27. implementation.
  28. @param request A request to make canonical.
  29. @result The canonical form of the given request.
  30. */
  31. + (NSURLRequest *)canonicalRequestForRequest:(NSURLRequest *)request;

翻译下:

  1. //NSURLProtocol.h
  2. /*!
  3. * @method:创建NSURLProtocol实例,NSURLProtocol注册之后,所有的NSURLConnection都会通过这个方法检查是否持有该Http请求。
  4. @parma :
  5. @return: YES:持有该Http请求NO:不持有该Http请求
  6. */
  7. + (BOOL)canInitWithRequest:(NSURLRequest *)request
  8. /*!
  9. * @method: NSURLProtocol抽象类必须要实现。通常情况下这里有一个最低的标准:即输入输出请求满足最基本的协议规范一致。因此这里简单的做法可以直接返回。一般情况下我们是不会去更改这个请求的。如果你想更改,比如给这个request添加一个title,组合成一个新的http请求。
  10. @parma: 本地HttpRequest请求:request
  11. @return:直接转发
  12. */
  13. + (NSURLRequest*)canonicalRequestForRequest:(NSURLRequest *)request

简单说:

  • +[NSURLProtocol canInitWithRequest:] 负责筛选哪些网络请求需要被拦截
  • +[NSURLProtocol canonicalRequestForRequest:] 负责对需要拦截的网络请求NSURLRequest 进行重新构造。

这里有一个注意点:+[NSURLProtocol canonicalRequestForRequest:] 的执行条件是 +[NSURLProtocol canInitWithRequest:] 返回值为 YES

注意在拦截 NSURLSession 请求时,需要将用于拦截请求的 NSURLProtocol 的子类添加到 NSURLSessionConfiguration 中,用法如下:

  1. NSURLSessionConfiguration *configuration = [NSURLSessionConfiguration defaultSessionConfiguration];
  2. NSArray *protocolArray = @[ [CUSTOMEURLProtocol class] ];
  3. configuration.protocolClasses = protocolArray;
  4. NSURLSession *session = [NSURLSession sessionWithConfiguration:configuration delegate:self delegateQueue:[NSOperationQueue mainQueue]];

换用其他提供了SNI字段配置接口的更底层网络库

如果使用第三方网络库:curl, 中有一个 -resolve 方法可以实现使用指定 ip 访问 https 网站,iOS 中集成 curl 库,参考 curl文档

另外有一点也可以注意下,它也是支持 IPv6 环境的,只需要你在 build 时添加上 --enable-ipv6 即可。

curl 支持指定 SNI 字段,设置 SNI 时我们需要构造的参数形如: {HTTPS域名}:443:{IP地址}

假设你要访问. www.example.org ,若IP为 127.0.0.1 ,那么通过这个方式来调用来设置 SNI 即可:

curl * —resolve ‘www.example.org:443:127.0.0.1’

iOS CURL 库

使用libcurl 来解决,libcurl / cURL 至少 7.18.1 (2008年3月30日) 在 SNI 支持下编译一个 SSL/TLS 工具包,curl 中有一个 --resolve 方法可以实现使用指定ip访问https网站。

在iOS实现中,代码如下

  1. //{HTTPS域名}:443:{IP地址}
  2. NSString *curlHost = ...;
  3. _hosts_list = curl_slist_append(_hosts_list, curlHost.UTF8String);
  4. curl_easy_setopt(_curl, CURLOPT_RESOLVE, _hosts_list);

其中 curlHost 形如:

{HTTPS域名}:443:{IP地址}

_hosts_list 是结构体类型hosts_list,可以设置多个IP与Host之间的映射关系。curl_easy_setopt方法中传入CURLOPT_RESOLVE 将该映射设置到 HTTPS 请求中。

这样就可以达到设置SNI的目的。

参考链接:

本文导读目录
本文导读目录
以上内容是否对您有帮助?