ios - 设置 TrustKit
<p><p>我正在开发一个应用程序,它很快需要包含 <code>https</code> 以进行网络通信。当我们注意到我们正在通过 <code>URL</code> 发送所有用户凭据时,我们就开始担心了。这不好,因为这样我们的用户名和密码就公开了。经过大量研究,固定服务器 SSL 证书的公钥似乎是可行的方法。我决定使用 <code>TrustKit</code> 固定证书的公钥,这样我们就不必在应用程序中固定整个证书。这样我们就不必在过期时继续更换证书,因此不必构建新的 IPA 或提交给 Apple。为了启动并运行它,我需要回答几个问题。</p>
<p>所以我明白开始使用 <code>TrustKit</code> 需要做三件主要的事情。</p>
<p><strong>1.</strong>我需要知道我们将要使用的<strong>域</strong>并将它们包含在我们的 info.plist 中。</p>
<ul>
<li><strong>问题</strong>:此域中的服务器是否需要做任何准备才能获得处理一切所需的 <code>TrustKit</code>?</li>
</ul>
<p><strong>2.</strong> 我需要 2 个公钥<strong>哈希</strong>,它们也需要包含在 info.plist 中。</p>
<ul>
<li><strong>问题</strong>:如何从证书中提取公钥散列?我从哪里获得这些哈希值?</li>
</ul>
<p><strong>3.</strong>我需要知道要使用什么公钥<strong>算法</strong>。</p>
<ul>
<li><strong>问题</strong>:这是什么?我如何确定要使用哪一个?</li>
</ul>
<hr/>
<p>一旦所有这些都准备就绪,我还需要在应用程序方面做些什么来确保 <code>TrustKit</code> 能长期发挥作用吗?</p></p>
<br><hr><h1><strong>Best Answer-推荐答案</ strong></h1><br>
<p><ol>
<li><p>服务器本身不需要做任何特别的事情,但您的运营/基础设施团队需要做;参见 2. 和备用引脚。</p></li>
<li><p>TrustKit 提供了一个 Python 脚本来生成您正在寻找的散列和算法:<a href="https://github.com/datatheorem/TrustKit/blob/master/get_pin_from_certificate.py" rel="noreferrer noopener nofollow">https://github.com/datatheorem/TrustKit/blob/master/get_pin_from_certificate.py</a> .您需要在域的 CA 证书(这将是第一个哈希)上使用脚本,然后在另一个 CA 证书上使用脚本,您从中为您的域购买了备份证书。如果您需要快速轮换服务器上的(第一个)证书,而不会使您的应用程序变砖,则需要此备份 pin。这在此处有更详细的解释:<a href="https://noncombatant.org/2015/05/01/about-http-public-key-pinning/" rel="noreferrer noopener nofollow">https://noncombatant.org/2015/05/01/about-http-public-key-pinning/</a> .</p></li>
<li><p>2. 中描述的脚本也返回算法。它是嵌入在服务器证书中的公钥算法(RSA、ECDSA)。这是 TrustKit 所需要的,因为 iOS 不提供 API 来自动检测证书的算法。</p></li>
</ol></p>
<p style="font-size: 20px;">关于ios - 设置 TrustKit,我们在Stack Overflow上找到一个类似的问题:
<a href="https://stackoverflow.com/questions/40618715/" rel="noreferrer noopener nofollow" style="color: red;">
https://stackoverflow.com/questions/40618715/
</a>
</p>
页:
[1]