iOS の通信における認証の種類とその取り扱い

NSURLProtectionSpace Authentication Methods
iOSにおける認証の種類とその取り扱い

iOSにおける認証の種類とその取り扱い
一部調査段階の内容を含むので 
必要に応じて動作確認の上、ご利用ください
2016/03/05 yidev 第２２回勉強会 : ATND https://atnd.org/events/74803 にて 
より詳細な内容で発表したいと思っています。

認証を制御する通信周りの Delegate
WKNavigationDelegate 
- webView:didReceiveAuthenticationChallenge:completionHandler: 
 
NSURLSessionDelegate
- URLSession:didReceiveChallenge:completionHandler:
NSURLConnectionDelegate
- connection:didReceiveAuthenticationChallenge: (Deprecated)

Ops! 
(これはWKWebViewで認証が必要なページをロードした様子です)
ちゃんと実装していないと中断して何も表示されない！

これらのDelegateの基本的な取り扱い方
 

認証に必要な認証情報を持った NSURLCredential を作って返す。
func webView(webView: WKWebView,
didReceiveAuthenticationChallenge challenge:
NSURLAuthenticationChallenge,
completionHandler: (NSURLSessionAuthChallengeDisposition,
NSURLCredential?) -> Void) {
let credential: NSURLCredential
/* credential = ... 適切な内容で NSURLCredential を作る */
completionHandler(.UseCredential, credential)
}

NSURLCredential には、 
各種認証の種類に合わせて3つのイニシャライザが用意されている。
• - initWithUser:password:persistence: 
ユーザー名とパスワード
• - initWithTrust: 
サーバー証明書
• - initWithIdentity:certiﬁcates:persistence: 
クライアント証明書

}
認証の種類を確認して、

}
challenge.protectionSpace.authenticationMethod
認証の種類を確認して、

completionHandler(.UseCredential, credential )
}
challenge.protectionSpace.authenticationMethod
認証の種類を確認して、 
必要なNSURLCredential を作って返す。

認証の種類がいっぱいあってわからん！

let NSURLAuthenticationMethodDefault: String
let NSURLAuthenticationMethodHTTPBasic: String
let NSURLAuthenticationMethodHTTPDigest: String
let NSURLAuthenticationMethodHTMLForm: String
let NSURLAuthenticationMethodNegotiate: String
let NSURLAuthenticationMethodNTLM: String
let NSURLAuthenticationMethodClientCertificate: String
let NSURLAuthenticationMethodServerTrust: String
全部チェックしてみます。

といいつつ 
一旦、１つ飛ばして２つ目からご説明します

HTTPBasic

そして１つ目に戻ります

NSURLAuthenticationMethodDefault
• その昔はBasic認証の時呼ばれたみたい
• Basic認証は現在 
NSURLAuthenticationMethodHTTPBasic 
が呼ばれる
• とつぜん 
NSURLAuthenticationMethodHTTPBasic 
が呼ばれるようになって困った人の悲鳴が観測された

Digest認証 (Basic認証のセキュリティ強度少し強い版)

NSURLAuthenticationMethodHTMLForm
• HTMLForm認証なんて聞いたことない！と思ったら…
• 通常のURLロードでは発生しないダミーの認証方式
• ユーザーカスタマイズ用
• 認証情報をNSURLCredentialStorageで管理して 
保存・取り出したい時用の分類

こういう機能を独自実装するとき用？

// 【A】カスタムの認証情報(例：ユーザー名とパスワード)を作成
let credential = NSURLCredential(
user: "niwatako",
password: "jellyfish",
persistence: .ForSession
)
// 【B】カスタム認証情報保存用の NSURLProtectionSpace (認証の掛かった通信先を表す) を作成
let HTMLFormSpace = NSURLProtectionSpace(
host: "niwatako.tako",
port: 443,
`protocol`: "https",
realm: nil, // realm... Digest認証などで必要、サーバー側のAuthNameにあたる
authenticationMethod: NSURLAuthenticationMethodHTMLForm
)
// CredentialStorage へ、【B】に紐付ける形で【A】を保存
let credentialStorage = NSURLCredentialStorage.sharedCredentialStorage()
credentialStorage.setCredential(credential, forProtectionSpace: HTMLFormSpace)
/* —————————————————————————————————————————————————————————————————————————————— */
// CredentialStorage から、【B】を指定して【A】を取り出し
if let credentials = credentialStorage.credentialsForProtectionSpace(HTMLFormSpace) {
for case let (username, credential) in credentials {
print("(username)'s password is (credential.password ?? "NULL")")
}
}
※上記の方法でID情報を保存できるとしても、 
表示中のWebサイトのログイン情報の保存や自動入力は 
独自にWebサイトのフォームを解析して実装する必要がありそうです。

NSURLAuthenticationMethodNegotiate
• Windowsサーバの認証機能
• ユーザー名とパスワードの認証

NSURLAuthenticationMethodNTLM
• Windowsサーバの認証機能
• ユーザー名とパスワードの認証
• 堅牢性はKerberos認証に劣る

NSURLAuthenticationMethodClientCertiﬁcate
• https:// のクライアント認証
• https の(相手の信頼性を確認し経路を暗号化する)通信は 
大抵、サーバーの証明書をクライアントがチェックするが 
これはクライアント側が証明書をインストールしておき、 
サーバーの方がクライアントの持つ証明書をチェックする

クライアント認証 
(iOSもメール等に証明書を添付すればインストールして使える)

NSURLAuthenticationMethodServerTrust
• よくある https:// から始まる SSL/TLS認証 
サーバーの証明書を確認し、安全性を確かめる
• “ユーザー名＆パスワード認証” 系と性質が異なり 
クライアント側が「サーバーは信頼できるか？」チェックする立場
• 認証失敗でも接続確立(強制的にサーバーを信頼)することは可能で、 
実際、続行して接続確立したい場合がある
• 社内サーバー等の自己署名証明書 
(＝信頼できる第三者機関発行でない証明書)
• ドメインに証明書が発行されたサイトにIPで接続する時
• 証明書の有効期限切れ …etc

SSL/TLS認証 - 安全なサーバーに接続できた時

SSL/TLS認証 - サーバーの安全性を確認できなかった時

SSL/TLS認証 - サーバーの安全性を確認できなかった時
たとえ認証に失敗しても 
そのサーバーとの接続を確立するかどうかは 
クライアント側が決められる

コンプリートしました！

通信を行うクラスは 
通信時に発生した認証を取り扱うためのデリゲートを持つ
 

認証時のデリゲートでは
必要な認証情報を持った NSURLCredential を作って返す
}

• - initWithUser:password:persistence: 
• - initWithTrust: 
• - initWithIdentity:certiﬁcates:persistence: 
NSURLCredential には3種類のイニシャライザが有り、
必要な認証情報によって使い分ける

認証の種類 (NSURLAuthenticationMethod) 毎の
必要になる認証情報は？

４つに分けられますね！


実際のURLリクエストでは発生しない、カスタマイズ用
除外
４つに分けられますね！

NSURLCredential = 認証情報
どのタイプの認証情報を作ればよいのか？

completionHandler(
.UseCredential,
NSURLCredential(
user: "niwatako",
password: "password",
)
)

必要に応じてアラートで 
ユーザー名とパスワードの
入力を求めるなどする
completionHandler(
.UseCredential,
NSURLCredential(
user: "niwatako",
password: "password",
)
)

これはまた別の機会に。。。
m(_ _ )m
検証用サーバー作っただけで終わりました

completionHandler(
.PerformDefaultHandling,
nil
)

completionHandler(
.PerformDefaultHandling,
nil
)
OSに任せることが出来る “PerformDefaultHandling” 
サーバー証明書に問題がない限りはこれで接続が確立可能

信頼されていない証明証でも 
アクセスしたい？ 
(自己署名証明書を使いたい / IPで接続したい / 有効期限切れ etc)

guard let serverTrust = challenge.protectionSpace.serverTrust else {
// 証明書が取得できなかった時はデフォルト処理
completionHandler(.PerformDefaultHandling, nil)
return
}
var result = SecTrustResultType(kSecTrustResultInvalid)
let status: OSStatus = SecTrustEvaluate(serverTrust, &result);
guard
status == noErr &&
result == SecTrustResultType(kSecTrustResultRecoverableTrustFailure)
else {
// 検証自体に失敗した時か、
// 検証結果がkSecTrustResultRecoverableTrustFailure以外は
// デフォルト処理
completionHandler(.PerformDefaultHandling, nil)
return
}
/* kSecTrustResultRecoverableTrustFailure の時は 
サーバーの証明書から作った NSURLCredential を返すと強制的に信頼できる */
completionHandler(
.UseCredential,
NSURLCredential(forTrust: serverTrust)
)
サーバー証明書が認証失敗でも接続を続行
→ここはAlertを出してユーザーに確認したり
→SecTrustEvaluate で自分で証明書を検証
→検証失敗、または正しい証明書、 
または強制的な接続続行が不可の時、Defaultに任せる

let alert = UIAlertController(
title: "Could not Verify Server Identity",
message: "Trust?",
preferredStyle: .Alert
)
alert .addAction(UIAlertAction(title: "Cancel", style: .Default, handler:
{ (UIAlertAction) -> Void in
completionHandler(.CancelAuthenticationChallenge, nil)
}))
alert .addAction(UIAlertAction(title: "Continue", style: .Cancel, handler:
{ (UIAlertAction) -> Void in
completionHandler(.UseCredential, NSURLCredential(forTrust: serverTrust))
/* NSAppTransportSecurity > NSAllowsArbitraryLoads = YES */
})) 
self.presentViewController(alert, animated: true, completion: nil)
→接続させない時は CancelAuthenticationChallenge
接続を続行するか確認するアラート

5分ではこのくらいまで 🙇

まだお話すべきこと
• ClientCertiﬁcateの使い方は？
• 実際にサーバーを用意してテストしたい
• NSURLSessionのデリゲートと適切な認証処理の箇所
• iOS8とiOS9で気をつけること

#yidev
yidev 第２２回勉強会 : ATND
https://atnd.org/events/74803
try! Swift 翌日にお話します！

iOS の通信における認証の種類とその取り扱い

iOS の通信における認証の種類とその取り扱い

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to iOS の通信における認証の種類とその取り扱い

Similar to iOS の通信における認証の種類とその取り扱い (20)

iOS の通信における認証の種類とその取り扱い