objective-c - NSURLSessionAuthChallengeRejectProtectionSpace 失败 - OS X iOS 上的自定义证书验证

Question

我有一个带有自定义证书验证的应用程序。代码很简单:

- (void)  URLSession:(NSURLSession *)session
                task:(NSURLSessionTask *)task
 didReceiveChallenge:(NSURLAuthenticationChallenge *)challenge
   completionHandler:(void (^)(NSURLSessionAuthChallengeDisposition disposition,
                               NSURLCredential *credential))completionHandler
{
    NSString * authenticationMethod = challenge.protectionSpace.authenticationMethod;
    CSHTTPDownoadTaskProxy *proxyTask = [self streamedDataTaskForHttpTask: task]; // get custom information about task

    if ([authenticationMethod isEqualToString: NSURLAuthenticationMethodServerTrust]) {
        if (!proxyTask) {
            completionHandler(NSURLSessionAuthChallengeRejectProtectionSpace, nil);
            LOG_UNEXPECTED_TASK(task);
            return;
        }
        [self validateCertificate: challenge.protectionSpace withCompletionHandler:  completionHandler];
    } else if ([authenticationMethod isEqualToString: NSURLAuthenticationMethodHTTPBasic] {
         … … …
    }
}

- (void) validateCertificate: (NSURLProtectionSpace *)protectionSpace
       withCompletionHandler: (void (^)(NSURLSessionAuthChallengeDisposition disposition,
                                        NSURLCredential *credential))completionHandler {

     // some logic
     … … …
     completionHandler(NSURLSessionAuthChallengeRejectProtectionSpace, nil);
}

现在，当证书被拒绝时，通常一切都会按预期进行，证书被拒绝并报告 HTTP 请求错误。 对于某些服务器，即使 completionHandler(NSURLSessionAuthChallengeRejectProtectionSpace, nil); 被调用，请求也会被处理并成功完成。

NSURLSessionAuthChallengeRejectProtectionSpace 文档说:

Reject this challenge, and call the authentication delegate method again with the next authentication protection space. The provided credential parameter is ignored.

这有点令人费解，“下一个认证保护空间”是什么意思？

此 API 还涵盖密码保护空间，我知道如果服务有多种身份验证方式，例如:Negotiate、Diget、Basic、NSURLSession prepossess best one first it is rejected it notification关于替代可能性或失败请求。 但是我的委托(delegate)只为这个身份验证方法调用一次 NSURLAuthenticationMethodServerTrust!

在大多数情况下，当我使用此值时，会报告预期错误(无效证书):

Error Domain=NSURLErrorDomain Code=-1202 "The certificate for this server is invalid. You might be connecting to a server that is pretending to be “10.133.32.55” which could put your confidential information at risk."

对于其他情况(日志显示使用正确的值调用了完成处理程序)HTTP 请求被处理并成功完成(它发生在不同客户端计算机上的某些服务器上)。

有没有其他人遇到过类似的问题？

我可以用 NSURLSessionAuthChallengeCancelAuthenticationChallenge 做一些糟糕的解决方法。此值报告请求已“取消”，因此我必须生成自己的错误。 我不喜欢这种方法，更喜欢找到为什么 NSURLSessionAuthChallengeRejectProtectionSpace 有时不起作用的原因。

更新

好的，我有一些额外的线索。问题仅出现在需要客户端身份证书的服务器上。 当不需要客户端身份时，接受证书验证(请求时拒绝证书)，如果需要客户端身份且可用，则忽略服务器证书验证结果。

在找到准确的答案后，对于具有导致这种副作用的客户端身份的服务器，配置测试服务器的人似乎更合适。

Answer 1

NSURLSessionAuthChallengeRejectProtectionSpace 的目的是告诉操作系统您不能对特定的身份验证类型执行任何操作。例如，如果服务器表示愿意接受客户端证书、基本身份验证(用户名/密码)或摘要身份验证(本质上是使用用户名/密码作为 key 对请求进行签名)，那么 NSURLSession一次会要求您提供其中一种方法。

如果 session 要求您提供客户端证书，而您只有用户名和密码，您可以通过使用 NSURLSessionAuthChallengeRejectProtectionSpace 调用延续 block 来拒绝客户端证书身份验证方法，然后 session 将询问你的用户名和密码。

IMO，将 NSURLSessionAuthChallengeRejectProtectionSpace 与服务器信任身份验证结合使用没有多大意义，因为除了 TLS 之外没有其他方法可以评估连接是否可信。在实践中，我认为这相当于调用NSURLSessionAuthChallengePerformDefaultHandling，这意味着如果证书是可信的，它将被接受，否则将被拒绝。但是，如果这是所需的行为，您应该明确地使用 NSURLSessionAuthChallengePerformDefaultHandling(或者如果您想取消请求，则使用 NSURLSessionAuthChallengeCancelAuthenticationChallenge)。

可能是在存在客户端证书的情况下拒绝请求会导致服务器的证书被忽略，在这种情况下，这可能是一个错误，您应该将其归档。但是这样做的原因大概是因为在发送客户端证书时需要接受服务器的证书，并且您告诉它跳过服务器验证并向您发送下一个方法(客户端证书)。所以我很确定这就是事情表现异常的原因。

此外，您还需要一个最终的“else”案例来处理未知的保护空间。很有可能，其他情况应该使用 NSURLSessionAuthChallengePerformDefaultHandling。如果你不这样做，那么当你得到一个未知的保护空间时，连接将永远保持打开状态，永远不会向前移动或被取消，因为没有任何东西会调用继续 block 。