iOS请求方法和网络安全

GET和POST请求

GET和POST请求简介

GET请求模拟登陆

POST请求模拟登陆

GET和POST的对比

保存用户信息到偏好设置

网络安全

Base64编码解码

MD5加密

钥匙串

GET和POST请求,是HTTP协议下常用的两种请求网络数据的方法。

GET和POST请求

简介

GET请求:

GET的本质是得.

从服务器获取数据,效率比POST高.

GET请求能够被缓存

在 HTTP 协议定义中,没有对GET请求的数据大小限制,不过因为浏览器不同一般限制在 2~8K 之间

GET发送请求时,URL中除了资源路径以外,所有的参数(查询字符串)也包装在URL中,并且服务器的访问日志会记录,不要传递敏感信息

浏览器可以监视GET请求.

POST请求

POST的本质是给.

向服务器发送数据,也可以获得服务器处理之后的结果,效率不如GET.

POST请求不能被缓存.

POST提交数据比较大,大小靠服务器的设定值限制,PHP通常限定 2M.

POST发送请求时,URL中只有资源路径,但不包含参数,服务器日志不会记录参数,相对更安全.

参数被包装成二进制的数据体,格式与 GET 基本一致,只是不包含 ?.

注意 : 所有涉及到用户隐私的数据(密码,银行卡号)一定记住使用 POST 方式传递.

浏览器可以监视POST请求.但是不容易捕捉到.

GET请求模拟登陆

准备界面

登陆按钮点击事件

- (IBAction)loginClick:(id)sender

{

NSString *userName = self.userNameTextField.text;

NSString *psd = self.psdTextField.text;

NSString *loginURLString = [NSString stringWithFormat:@"http://xxx/php/login/login.php?username=%@&password=%@",userName,psd];

/*

注意 :

GET请求时,问号`?`后面的查询字符串里面不能有中文或者空格.如果有就需要使用%转义.不然URL会为nil

POST请求时,请求体里面可以有中文.

URLQueryAllowedCharacterSet : 百分号转义查询字符串

*/

loginURLString = [loginURLString stringByAddingPercentEncodingWithAllowedCharacters:[NSCharacterSet URLQueryAllowedCharacterSet]];

// URL

NSURL *URL = [NSURL URLWithString:loginURLString];

// 发起和启动任务

[[[NSURLSession sharedSession] dataTaskWithURL:URL completionHandler:^(NSData * _Nullable data, NSURLResponse * _Nullable response, NSError * _Nullable error) {

// 错误处理

if (error == nil && data != nil) {

// json反序列化

NSDictionary *result = [NSJSONSerialization JSONObjectWithData:data options:0 error:NULL];

// 判断是否登陆成功

if ([result[@"userId"] integerValue] == 1) {

NSLog(@"登陆成功");

} else {

NSLog(@"登陆失败");

}

} else {

NSLog(@"%@",error);

}

}] resume];

}

```

* 注意:`URL参数中如果有汉字或空格或者特殊字符,需要进行百分号转义.否则,创建NSURL会返回nil;`

* ####POST请求模拟登陆

* 准备界面

![](http://upload-images.jianshu.io/upload_images/3552201-3c6935567e785c78.jpg?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

* 登陆按钮点击事件

- (IBAction)loginClick:(id)sender

{

// URL

NSURL *URL = [NSURL URLWithString:@"http://xxx/php/login/login.php"];

// 创建请求

NSMutableURLRequest *requestM = [NSMutableURLRequest requestWithURL:URL];

// 设置请求方法

requestM.HTTPMethod = @"POST";

// 设置请求体 : POST做登陆和注册时需要额外的发送请求体

requestM.HTTPBody = [self getHTTPBody];

// 发起和启动任务

[[[NSURLSession sharedSession] dataTaskWithRequest:requestM completionHandler:^(NSData * _Nullable data, NSURLResponse * _Nullable response, NSError * _Nullable error) {

// 错误处理

if (error == nil && data != nil) {

// 反序列化json

NSDictionary *result = [NSJSONSerialization JSONObjectWithData:data options:0 error:NULL];

// 判断是否登陆成功

if ([result[@"userId"] intValue] == 1) {

NSLog(@"登陆成功");

} else {

NSLog(@"登陆失败");

}

} else {

NSLog(@"%@",error);

}

}] resume];

}

```

设置请求体

- (NSData *)getHTTPBody

{

NSString *body = [NSString stringWithFormat:@"username=%@&password=%@",self.userNameTextField.text,self.psdTextField.text];

NSData *HTTPBody = [body dataUsingEncoding:NSUTF8StringEncoding];

return HTTPBody;

}

```

GET和POST的对比

URL

GET:http://xxx/php/login/login.php?username=zhangsan&password=zhang

POST:http://xxx/php/login/login.php

GET请求

URL 中在指定资源路径后面,包含了所有参数(查询字符串).

GET是网络访问使用频率最高的方法.从服务器获取数据默认方法就是 GET.

POST请求

URL 中不包含任何参数,直接指定资源路径即可.没有 ?.

POST请求 需要指定HTTP的访问方法为:@"POST".

所有的参数都在请求体中指定.

保存用户信息到偏好设置

定义宏

*#define userName @"userName"

*#define psd @"psd"

保存用户信息到偏好设置

- (void)saveUserInfos

{

[[NSUserDefaults standardUserDefaults] setObject:self.userNameTextField.text forKey:userName];

[[NSUserDefaults standardUserDefaults] setObject:self.psdTextField.text forKey:psd];

}

```

* 从偏好设置获取用户信息

- (void)readUserInfos

{

self.userNameTextField.text = [[NSUserDefaults standardUserDefaults] objectForKey:userName];

self.psdTextField.text = [[NSUserDefaults standardUserDefaults] objectForKey:psd];

}

```

登陆成功,保存用户信息到偏好设置

- (void)viewDidLoad {

[super viewDidLoad];

// 程序启动之后,从偏好设置获取用户信息

[self readUserInfos];

}

- (IBAction)loginClick:(id)sender

{

// URL

NSURL *URL = [NSURL URLWithString:@"http://xxx/php/login/login.php"];

// 创建请求

NSMutableURLRequest *requestM = [NSMutableURLRequest requestWithURL:URL];

// 设置请求方法

requestM.HTTPMethod = @"POST";

// 设置请求体 : POST做登陆和注册时需要额外的发送请求体

requestM.HTTPBody = [self getHTTPBody];

// 发起和启动任务

[[[NSURLSession sharedSession] dataTaskWithRequest:requestM completionHandler:^(NSData * _Nullable data, NSURLResponse * _Nullable response, NSError * _Nullable error) {

// 错误处理

if (error == nil && data != nil) {

// 反序列化json

NSDictionary *result = [NSJSONSerialization JSONObjectWithData:data options:0 error:NULL];

// 判断是否登陆成功

if ([result[@"userId"] intValue] == 1) {

NSLog(@"登陆成功");

// 登陆成功之后,保存用户信息到偏好设置

[self saveUserInfos];

} else {

NSLog(@"登陆失败");

}

} else {

NSLog(@"%@",error);

}

}] resume];

}

```

* 程序启动,从偏好设置读取用户信息

- (void)viewDidLoad {

[super viewDidLoad];

// 程序启动,从偏好设置读取用户信息

[self readUserInfos];

}

```

网络安全

Base64编码解码

简介

是网络上使用最广泛的编码系统,能够将任何二进制数据,转换成只有 65 个字符组成的文本文件.

编码后的数据由 a-z A-Z 0-9 + / = 表示.

base64 编码后的结果能够反算,不够安全.

base64 是所有现代加密算法的基础算法.

原理

把一个字符转换成二进制取出前6位查表.

不够6位的时候补0,如果是8位,则补4个0,编码后连接两个==.

如果最后是4位,补2个0,编码后连接一个=.

编码之后文件会变大,因为有补0.

加密和解密

发送隐私信息时需要加密

提示 : 服务器上保存的私密信息是机密之后的数据

保存隐私信息时也需要加密

读取保存的隐私信息时需要解密

网络应用程序的数据安全

Base64编码解码模拟加密解密代码实现

base64编码 ===> 模拟加密

/// base64编码---加密 : 传入需要"加密"的字符串,返回"加密"之后的字符串

- (NSString *)base64Encode:(NSString *)str

{

// 1.将需要加密的数据转成二进制,因为Base64的编码和解码都是针对二进制的

NSData *data = [str dataUsingEncoding:NSUTF8StringEncoding];

// 2.把二进制数据编码之后,直接转成字符串

NSString *encodeStr = [data base64EncodedStringWithOptions:0];

// 3.返回结果

return encodeStr;

}

base64解码 ===> 模拟解密

/// base64解码---解密

- (NSString *)base64Decode:(NSString *)encodeStr

{

if (encodeStr.length == 0) {

return nil;

}

// 1.把编码之后的字符串解码成二进制

NSData *data = [[NSData alloc] initWithBase64EncodedString:encodeStr options:0];

// 2.把解码之后的二进制转换成字符串

NSString *decodeStr = [[NSString alloc] initWithData:data encoding:NSUTF8StringEncoding];

// 3. 返回结果

return decodeStr;

}

发送用户信息时先"加密".

- (NSData *)getHTTPBody

{

// 发送密码之前先加密

NSString *password = [self base64Encode:self.psdTextField.text];

NSString *body = [NSString stringWithFormat:@"username=%@&password=%@",self.userNameTextField.text,password];

NSData *HTTPBody = [body dataUsingEncoding:NSUTF8StringEncoding];

return HTTPBody;

}

保存用户信息之前"加密"处理.

- (void)saveUserInfos

{

[[NSUserDefaults standardUserDefaults] setObject:self.userNameTextField.text forKey:userName];

// 密码保存之前先加密

NSString *password = [self base64Encode:self.psdTextField.text];

[[NSUserDefaults standardUserDefaults] setObject:password forKey:psd];

}

读取本地"加密"的用户信息时需要"解密".

- (void)readUserInfos

{

self.userNameTextField.text = [[NSUserDefaults standardUserDefaults] objectForKey:userName];

// 取出密码之前先解密

NSString *password = [self base64Decode:[[NSUserDefaults standardUserDefaults] objectForKey:psd]];

self.psdTextField.text = password;

}

Base64编码的好处坏处

好处:使用Base64编码之后,不能直接看到用户密码的明文.

问题:但是Base64编码解码的算法是公开的,并且算法可逆,安全性并不好.

MD5加密

简介

对任意的数据进行计算,生成固定长度的字符串.32个字符.

一般用来加密密码.

有时候也用来验证文件下载时,是否被篡改过.

MD5终端命令

# 得到文件的MD5值

$ md5 文件名

# 得到字符串的MD5值

md5 -s "string"

MD5加密方案

先导入分类 #import "NSString+Hash.h"

方案一:

password = [self.psdTextField.text md5String];

Base64与MD5对比

Base64编码 : "加密"简单,算法可逆.毫无安全性可言.不能用来加密密码.

MD5 : 加密过程复杂,算法不可逆,安全性高,常用来加密密码等用户的敏感信息.但是简单的密码MD5加密之后可以暴力破解.

暴力破解网站 :cmd5

方案二 : 密码加盐

如果原始密码过于简单,直接进行MD5加密是很容易被暴力破解的.

为了增强密码的安全性,防止加密的密码被暴力破解,可以向原始密码中加盐.

盐 : 服务器端和客户端约定的一个字符串.

MD5+盐 : 原始密码+盐拼接出新的密码字符串,再进行MD加密.

以上为加一勺盐,比单纯的直接MD5加密安全性要高.

盐要足够的咸,越咸越安全.

// 盐

NSString *salt = @"123zxcASD!@#";

password = [[self.psdTextField.text stringByAppendingString:salt] md5String];

方案三 : HMAC

HMAC : 加两勺盐.加两勺盐的密码加密强度比加一勺盐要高.

原理 : 原始密码+盐进行MD5计算,结算的结果+原始密码再进行MD5计算.

// 盐

NSString *salt = @"123zxcASD!@#";

password = [self.psdTextField.text hmacMD5StringWithKey:salt];

注意

不能用不可逆的加密算法加密密码并保存到本地.因为不可逆的加密算法加密的数据几乎不能还原回来.

苹果提供了钥匙串专门保存用户的私密信息到本地.

获取请求体的方法

- (NSData *)getHTTPBody

{

// 发送密码之前先加密

NSString *password;

// Base64编码模拟加密

//    password = [self base64Encode:self.psdTextField.text];

// MD5加密

//    password = [self.psdTextField.text md5String];

#pragma MD5加盐

// 1. 加一勺盐,加密强度比单纯的MD5加密更高.越咸安全性越高

// 加盐的字符串 : 服务器端和客户端约定的一个字符串.

//    NSString *salt = @"123zxcASD!@#";

//    password = [[self.psdTextField.text stringByAppendingString:salt] md5String];

// 2. HMAC : 加两勺盐.原始密码+盐进行MD5计算,计算的结果+原始密码再进行MD5计算

NSString *salt = @"123zxcASD!@#";

password = [self.psdTextField.text hmacMD5StringWithKey:salt];

NSString *body = [NSString stringWithFormat:@"username=%@&password=%@",self.userNameTextField.text,password];

NSData *HTTPBody = [body dataUsingEncoding:NSUTF8StringEncoding];

return HTTPBody;

}

钥匙串

简介

safari 偏好设置里面可以读取到保存到钥匙串中的密码.

使用 AES 256 加密算法,能够保证用户密码的安全.

钥匙串访问SDK,是苹果在 iOS 7.0.3 版本以后公布的.钥匙串访问的SDK是纯 C 语言的.

钥匙串访问的密码保存在哪里?只有苹果知道!是为了进一步保障用户的密码安全!

钥匙串访问的第三方框架,是对 C 框架的封装,可以不用看源代码.

框架地址 :https://github.com/soffes/sskeychain

sskeychain提供的常用的方法

/// 所有账户

+ (NSArray *)allAccounts;

/// 获取所有账户信息

+ (NSArray *)accountsForService:(NSString *)serviceName;

/// 获取账号密码

+ (NSString *)passwordForService:(NSString *)serviceName account:(NSString *)account;

/// 删除账号密码

+ (BOOL)deletePasswordForService:(NSString *)serviceName account:(NSString *)account;

/// 将账号密码保存在钥匙串

+ (BOOL)setPassword:(NSString *)password forService:(NSString *)serviceName account:(NSString *)account;

密码保存到钥匙串

先导入头文件 : #import "SSKeychain.h"

/*

参数1 : 要保存到钥匙串的密码

参数2 : 保存哪个应用的密码

参数3 : 保存哪个账号的密码

*/

[SSKeychain setPassword:self.psdTextField.text forService:[NSBundle mainBundle].bundleIdentifier account:self.userNameTextField.text];

从钥匙串读取密码

self.psdTextField.text = [SSKeychain passwordForService:[NSBundle mainBundle].bundleIdentifier account:self.userNameTextField.text];

感谢读到最后的朋友,最后祝大家新年快乐,请点赞支持一下,谢谢!

作者:MiracleGl

链接:http://www.jianshu.com/p/69dd436c7416

來源:简书

著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。