HTTP协议被的401授权认证机制以iOS上之落实。NSURLProtectionSpace 证书认证的上下文。

咱们当为此NSURLConnection或者NSURLSession进行HTTP请求时,有些URL因为待授权认证要返401,因此客户端需要以HTTP的求头挨带上用户与密码进行授权认证(切实查看此);或者当我们以HTTPS协议时,一旦服务器提供的证书不吃默认信任则需客户端人为确认是不是信任这个服务器证书;或者用HTTPS协议时服务端也需客户端提供证件进行双向认证时;或者我们是经代理服务器来呼吁数据时客户端需要提供代理服务器的用户与密码进行认证。我们遂这些状况也服务端要求客户端接收证明挑战(AuthenticationChallenge)

只NSURLProtectionSpace提供如下信:

当我们使用NSURLConnection来呼吁需要挑战的页面的时delegate会先调用协议函数:

//401的印证方法的realm字段的价值

(void)connection:(NSURLConnection*)connectionwillSendRequestForAuthenticationChallenge:(NSURLAuthenticationChallenge*)challenge。

(NSString*)realm;

呢尽管是只要发亟待验证时不见面事先调用didReceiveResponse,而是先调用点的函数,下面介绍NSURLAuthenticationChallenge类,这个看似是证明挑战类,也就算是求客户端进行挑战,要收下挑战也就是是客户端提供挑战的凭证(用户与密码,或者客户端证书,或者信任服务器证书,或者代理),IOS提供了一个NSURLCredential的类似来代表挑战凭证。可以经如下函数来树挑战凭证

//401的印证方法,指定是否密码发送安全。

//通过用户密码建立凭证,这种用于401错误的挑战凭证和代理的挑战凭证
(id)initWithUser:(NSString*)user password:(NSString *)passwordpersistence:(NSURLCredentialPersistence)persistence;

//这种是要求客户端提供证书来建立的挑战凭证,用于服务器要认证客户端的情况,我们需要从钥匙串中得到一个客户端证书。
(id)initWithIdentity:(SecIdentityRef)identitycertificates:(NSArray *)certArraypersistence:(NSURLCredentialPersistence) persistence


//这种要求客户端的对服务器的信任来建立凭证,所谓SecTrust用来描述信任某个证书用来做什么的东西,比如一个证书可以用来做SSL,用来做签名,邮件安全(这个证书以及可以用来做什么来构造一个信任)
-(id)initWithTrust:(SecTrustRef)trustNS_AVAILABLE(10_6,3_0);

-(BOOL)receivesCredentialSecurely;

地方的2被证明中还出一个persistence值,这是一个朵举值用来描述是证的保存策略,一共来三种植:

//代理授权

  • NSURLCredentialPersistenceNone, //不保存,只请一次。
  • NSURLCredentialPersistenceForSession, //只在此次对话中中
  • NSURLCredentialPersistencePermanent
    //永久有效,保存于钥匙串中,其他为使得

-(BOOL)isProxy;

干什么服务器信任的凭证不欲保留及囤着,原因是服务器信任的证据总是由服务器发给客户端的

//服务端主机地址,如果是代理则代理服务器地址

为什么要起保存策略也?想想如果我们无保留之言语我们每次都设进行用户手动处理极其难为了,因此系统提供了一个地方来保存这些信,这样咱们的挑战对象NSURLAuthenticationChallenge就好依据特殊的音(后面说明)来博这些信如不必要每次都用手动处理,这个保存之地方叫NSURLCredentialStorage是一个据存储类,这个类似提供一个单例的点子来走访凭证存储对象。我们明白一个挑战是服务器端向客户端发起的,所以提供一个证是依据服务端要求的音讯来树立之,我们的挑战类NSURLAuthenticationChallenge根据服务端要求的挑战方式,从信存储类NSURLCredentialStorage中得到一个具体的证据对象,然后接受挑战。而服务器要求的挑战方式我们就此一个类NSURLProtectionSpace叫做保护空间来叙述。那么保护空间内来怎么样信息呢?可以得的凡包挑战的方法(401授权,客户端证书,服务端要求信任等,如果是其一则会供一个SecTrust对象)、服务器的URL地址,端口号,协议等等。确实如此,一个NSURLProtectionSpace提供如下信:

-(NSString *)host;

//401的认证方式的realm字段的值
(NSString*)realm;
//401的认证方式,指定是否密码发送安全。
-(BOOL)receivesCredentialSecurely;
//代理授权
-(BOOL)isProxy;
//服务端主机地址,如果是代理则代理服务器地址
-(NSString *)host;

//服务端端口地址,如果是代理则代理服务器的端口
-(NSInteger)port;

//代理类型,只对代理授权,比如http代理,socket代理等。
-(NSString *)proxyType;

//使用的协议,比如http,https, ftp等,
-(NSString *)protocol;

//最关键字段,指定授权方式,比如401,客户端认证,服务端信任,代理等。
-(NSString *)authenticationMethod;

//客户端认证,是指定可接受的客户端证书列表??表示只有这些证书才可以??
-(NSArray *)distinguishedNames NS_AVAILABLE(10_6,3_0);

//用于服务端信任,指定一个信任对象,可以用这个对象来建立一个凭证。
-(SecTrustRef)serverTrust NS_AVAILABLE(10_6,3_0);

//服务端端口地址,如果是代理则代理服务器的端口

保障空间的树提供2个点子:

-(NSInteger)port;

(id)initWithHost:(NSString*)host port:(NSInteger)port protocol:(NSString *)protocolrealm:(NSString *)realm authenticationMethod:(NSString*)authenticationMethod;

//代理的保护空间
-(id)initWithProxyHost:(NSString*)host port:(NSInteger)port type:(NSString *)type realm:(NSString*)realm authenticationMethod:(NSString *)authenticationMethod;


好了有了保护空间类,也凭证类我们就可以把信息从凭证空间读取或者保存了,凭证空间提供了如下的方法:

//根据保护空间得到凭证对象字典,这个字典的key是用户名,而value是NSURLCredential
-(NSDictionary *)credentialsForProtectionSpace:(NSURLProtectionSpace*)space;

//所有凭证对象字典,key是保护空间,value是一个字典,其中value的key是用户名字,value是凭证
-(NSDictionary *)allCredentials;

//保存凭证
-(void)setCredential:(NSURLCredential*)credential forProtectionSpace:(NSURLProtectionSpace *)space;

//删除凭证
-(void)removeCredential:(NSURLCredential*)credential forProtectionSpace:(NSURLProtectionSpace *)space;

//设置某个保护空间的默认凭证
-(NSURLCredential*)defaultCredentialForProtectionSpace:(NSURLProtectionSpace *)space;

//获取某个凭证空间的默认凭证
-(void)setDefaultCredential:(NSURLCredential*)credential forProtectionSpace:(NSURLProtectionSpace *)space;


当我们的凭证存储空间有变化时会发送FOUNDATION_EXPORTNSString *constNSURLCredentialStorageChangedNotification;通知。

//代理项目,只对代理授权,比如http代理,socket代理等。

哼了游说了这样多,然我们来持续看挑战类吧NSURLAuthenticationChallenge,一个挑战类会包含:保护空间信息,凭证类(如果有些言语),

-(NSString *)proxyType;

以此近乎的函数如下:

//使用的商谈,比如http,https, ftp等,

//这个函数返回一个类NSURLProtectionSpace,类中描述服务器中希望的认证方式以及协议,主机端口号等信息。
(NSURLProtectionSpace*)protectionSpace;

//上次客户端接收挑战时所指定的认证的凭证,在没有指定时默认为nil
-(NSURLCredential*)proposedCredential;

//用户密码输入失败的重复次数。
-(NSInteger)previousFailureCount;

//也就是一个401响应头的详细信息。
-(NSURLResponse*)failureResponse;

//错误信息
-(NSError*)error;

//这个方法用来指定客户端如何来接收挑战。也就是客户端在处理willSendRequestForAuthenticationChallenge函数的最后必须指定接收挑战的方式。客户端可以调用sender中的协议指定的方法来执行接收挑战的方式。这个sender是系统实现的,客户端只要调用就可以了。
(id<NSURLAuthenticationChallengeSender>)sender;

//上面的sender是我们需要告诉服务器我们如何来接受挑战,这个协议实现了如下函数:
@protocolNSURLAuthenticationChallengeSender <NSObject>

//如果用户接收挑战则需要用户提供一个授权的凭证credential,用户需要建立这个凭证NSURLCredential对象。
-(void)useCredential:(NSURLCredential*)credential forAuthenticationChallenge:(NSURLAuthenticationChallenge*)challenge;

//告诉服务器我不管他要认证我继续处理不用输入认证用户和密码,如果调用了这个函数则会调用URLConnection的delegate的didReceiveResponse函数并且响应为401
-(void)continueWithoutCredentialForAuthenticationChallenge:(NSURLAuthenticationChallenge*)challenge;

//如果调用这个函数则我表示我不接收挑战了,这时候会调用URLConnection的delegate的didFailWithError函数表示错误了。
(void)cancelAuthenticationChallenge:(NSURLAuthenticationChallenge*)challenge;
@end

-(NSString *)protocol;

俺们还来捋顺一下逻辑,当我们发送请求到服务端时,服务端需要我们挑战时会见当客户端创建一个挑战对象NSURLAuthenticationChallenge,其中的掩护空间NSURLProtectionSpace由服务器响应的音讯来构建,而<NSURLAuthenticationChallengeSender>sender则中构建,然后挑战对象见面依据维护空间由信存储着取得相应的凭对象,如果来凭证对象则会将信对象赋值给数成员proposedCredential,建立挑战对象后判断时有没有发出落实NSURLConnection的willSendRequestForAuthenticationChallenge的函数,如果没实现则基于信对象来调用sender的领挑战或者失败函数,而只要是咱们落实了willSendRequestForAuthenticationChallenge就需要我们团结来拍卖如何接纳挑战了,注意当我们调用sender的收到挑战函数,这个函数内部会拿证据及保安空间保存至证据存储着失去,以便下次继续行使(当然好通过决定凭证的持久属性来支配是否保存)。因此有的上咱们得以网被优先植入一些特定服务器的掩护空间与信,这样我们便无欲去处理willSendRequestForAuthenticationChallenge函数了,这种机制特别有效之用于拍卖webview来访问有些需要授权的或https或者代理等等。

//最要字段,指定授权法,比如401,客户端认证,服务端信任,代理等。


-(NSString *)authenticationMethod;

终极欢迎大家拜我的github站点,关注欧阳大哥2013。

//客户端认证,是点名可接受之客户端证书列表??表示除非这些证件才足以??

-(NSArray *)distinguishedNames NS_AVAILABLE(10_6,3_0);

//用于服务端信任,指定一个信任对象,可以据此这目标来确立一个据。

-(SecTrustRef)serverTrust NS_AVAILABLE(10_6,3_0);

护空间的树提供2个措施:

(id)initWithHost:(NSString*)host port:(NSInteger)port
protocol:(NSString *)protocolrealm:(NSString *)realm
authenticationMethod:(NSString*)authenticationMethod;

//代理的维护空间

-(id)initWithProxyHost:(NSString*)host port:(NSInteger)port
type:(NSString *)type realm:(NSString*)realm
authenticationMethod:(NSString *)authenticationMethod;

哼了生了维护空间类,也凭证类我们尽管足以拿信于证据空间读取或者封存了,凭证空间供了之类的主意:

//根据维护空间得到凭证对象字典,这个字典的key是用户称,而value是NSURLCredential

-(NSDictionary
*)credentialsForProtectionSpace:(NSURLProtectionSpace*)space;

//所有证对象字典,key是维护空间,value是一个字典,其中value的key是用户名字,value是据

-(NSDictionary *)allCredentials;

//保存证据

-(void)setCredential:(NSURLCredential*)credential
forProtectionSpace:(NSURLProtectionSpace *)space;

//删除凭证

-(void)removeCredential:(NSURLCredential*)credential
forProtectionSpace:(NSURLProtectionSpace *)space;

//设置有保护空间的默认凭证

-(NSURLCredential*)defaultCredentialForProtectionSpace:(NSURLProtectionSpace
*)space;

//获取有凭证空间的默认凭证

-(void)setDefaultCredential:(NSURLCredential*)credential
forProtectionSpace:(NSURLProtectionSpace *)space;

当我们的凭存储空间来浮动时见面发送FOUNDATION_EXPORTNSString
*constNSURLCredentialStorageChangedNotification;通知。

吓了游说了如此多,然我们来连续看挑战类吧NSURLAuthenticationChallenge,一个挑战类会含有:保护空间信息,凭证类(如果有言语),

 

咱们更来捋顺一下逻辑,当我们发送请求到服务端时,服务端需要我们挑战时会于客户端创建一个挑战对象NSURLAuthenticationChallenge,其中的护空间NSURLProtectionSpace由服务器响应的消息来构建,而<NSURLAuthenticationChallengeSender>sender则中构建,然后挑战对象会冲保障空间从证据存储着获得相应之信对象,如果起据对象则会把证据对象赋值给多少成员proposedCredential,建立挑战对象后判断当前起无起落实NSURLConnection的willSendRequestForAuthenticationChallenge的函数,如果没有兑现则根据信对象来调用sender的纳挑战或者失败函数,而使是我们贯彻了willSendRequestForAuthenticationChallenge就待我们好来拍卖如何吸收挑战了,注意当我们调用sender的接收挑战函数,这个函数内部会管信及维护空间保存及证据存储着失去,以便下次继续运用(当然好通过控制凭证的持久属性来控制是否保存)。因此有的上咱们得以系统面临先行植入一些特定服务器的保安空间与信,这样我们便无欲去处理willSendRequestForAuthenticationChallenge函数了,这种机制特别有效之用来拍卖webview来访问有些需要授权的要么https或者代理等等。

 

http://blog.csdn.net/antjumper/article/details/51567945

相关文章