NSURLConnection willSendRequestForAuthenticationChallenge 是否安全

Question

我正在我的 iOS 应用程序中使用 HTTPS POST 连接到内部公司 REST 服务。 此服务需要基本的 HTTP 身份验证。

当我尝试在 HTTPHeader 中传递身份验证参数时，服务器返回错误消息 “Error Domain=NSURLErrorDomain Code=-1202”此服务器的证书无效。您可能正在连接到伪装成“oiam.XXXX.com”的服务器，这可能会使您的机密信息面临风险。" UserInfo=0x8d1de60 {NSErrorFailingURLStringKey=https://oiam.xxxx.com/NSLocalizedRecoverySuggestion=Would 你还是想连接到服务器？, "

我阅读了一些问题，看起来我需要安装证书。由于我在 iOS 模拟器上，因此无法安装证书。

我尝试使用 NSURLConnectionDelegate 协议并且连接工作。

我唯一的问题是我传递用户名密码的这种方法。它安全吗？为什么我不需要对值进行编码？在 Header 中进行 HTTPS Basic 身份验证时，我正在为传递值进行编码。

-(void)connection:(NSURLConnection *)connection       willSendRequestForAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge {
if ([challenge previousFailureCount]) {
   [[challenge sender] cancelAuthenticationChallenge:challenge];
} else {
    NSURLCredential *credential = [NSURLCredential credentialWithUser:@"username1"
                                   password:@"password1"                                                     
                                   persistence:NSURLCredentialPersistenceForSession];
    [[challenge sender] useCredential:credential forAuthenticationChallenge:challenge];
}
}

Answer 1

对于内部使用和测试，您可以使用类扩展覆盖 NSURLRequest 中的私有 API，以便接受无效证书：

#if DEBUG

@interface NSURLRequest (IgnoreSSL)

+ (BOOL)allowsAnyHTTPSCertificateForHost:(NSString *)host;

@end

@implementation NSURLRequest (IgnoreSSL)

+ (BOOL)allowsAnyHTTPSCertificateForHost:(NSString *)host
{
    // ignore certificate errors only for this domain
    if ([host hasSuffix:@"oiam.XXXX.com"]) {
        return YES;
    }
    else {
        return NO;
    }
}

@end

#endif 

关于凭证的安全性问题，在通过网络传输之前，它们将根据需要进行编码。