一:接口加密和簽名
加密分為對稱加密和非對稱加密
對稱加密:信息接收雙方都需事先知道密匙和加解密算法且其密匙是相同的,之后便是對數據進行加解密了。
非對稱加密:公鑰放在客戶端,并使用公鑰對數據進行加密,服務器端拿到數據后用私鑰進行解密。
非對稱加密與對稱加密不同,發送雙方A,B事先均生成一對密匙,然后A將自己的公有密匙發送給B,B將自己的公有密匙發送給A,如果A要給B發送消息,則先需要用B的公有密匙進行消息加密,然后發送給B端,此時B端再用自己的私有密匙進行消息解密,B向A發送消息時為同樣的道理。
接口簽名(數字簽名):客戶端對內容進行摘要算法(MD5算法)生成一段固定長度的文本,成為原內容的摘要,然后利用客戶端的私鑰加密摘要,得到原內容的數字簽名。服務端接收到原內容和數字簽名(簽名1),首先用相同的摘要算法生成原內容的摘要(摘要1),同時用公鑰解密數字簽名(簽名1),得到摘要2,然后比較摘要1和摘要2,若相同,則驗證原內容有效。
二:加密和簽名的區別,加密是防止傳輸的內容被破解,所以客戶端用公鑰加密(公鑰可以是很多人都有),服務器端用私鑰解密(見下面的私鑰的作用)。簽名是防止接口被刷,此時客戶端用私鑰進行加密(用私鑰加密代表此客戶端發出的接口請求是受信任的),服務器端用公鑰檢驗簽名。在做接口簽名的時候,私鑰是不建議放在本地的,本地數據有被破解的風險。
私鑰的作用:私鑰的作用是鑒別用戶的真偽,如果用戶A向B發信息,但是A的公鑰很多人都有,如何知道是A發的呢?就需要私鑰認證,A發給B信息的時候,附帶一段信息,然后通過自己的私鑰把這段信息加密.B收到信息后,首先用A的公鑰進行解密,如果正確就說明信息是A發的,然后再用自己的私鑰解密。
三:接口加密的設計和對應的開源庫
目前項目中用到的接口加密方式,是通過開源庫openssl或者ios系統的Security庫進行的Rsa進行加密解密或者進行簽名。
四:說說蘋果證書和簽名的策略。
蘋果證書是數字化簽名后的數字化證書,是iOS系統校驗APP核心。
1.開發者首先在keyChain中生成一個證書申請文件(CertificationSigningRequest,簡稱CSR),該文件包含開發者的信息、公鑰、公鑰加密算法和摘要算法,在這個過程中,首先會產生一個開發者使用的私鑰,保存在keyChain中。
2.開發者上傳CSR文件給Apple的MemberCenter(簡稱MC),蘋果公司會根據該文件生成一個證書,包含兩部分,即證書的內容和一段Apple的數字簽名,如下圖:
數字簽名是在開發者上CSR文件,生成證書的過程中,蘋果利用自己的私鑰,加密證書內容摘要得到的,是為了驗證證書的有效性,ios系統本身裝有蘋果公司的公鑰。
注釋:這里有必要說明一點:生成數字簽名用到的私鑰和公鑰和證書中的公鑰和私鑰是不同的,前者是蘋果自己的私鑰和公鑰,后者是開發者自己的公鑰和私鑰。
2.2 描述文件
也是通過蘋果的MC下載得到,里面包含了數字證書、AppId和設備UDID,除了這些還有授權信息,規定了App能夠使用的服務有哪些。
3. App打包和安裝的過程分析
Xcode在打包生成ipa文件的過程中,利用證書的私鑰對代碼、資源文件進行摘要簽名,并將數字簽名存放在ipa文件夾的_CodeSignature文件夾中。
3.1 ?驗證證書的有效性:
? ?當安裝app到ios系統上時,系統首先通過描述文件找到數字證書,通過證書里面的數字簽名,通過1.1圖進行有效性驗證,具體的過程是,ios系統本身裝有蘋果公司的公鑰,對證書內容進行摘要算法生成摘要1,然后對數字簽名進行解密,生成摘要2,然后比對摘要1和摘要2,如果相等,則證書有效。
3.2 驗證App
如果證書有效,取出證書中的開發者公鑰,通過1.1圖解密App的數字簽名,如果發現摘要一致,則驗證通過,App成功安裝在手機上了。
后語:希望大家在閱讀后順便點贊,以示鼓勵!堅持是一種信仰,專注是一種態度!
