iOS 13-Sign In with Apple(苹果登录)APP+后端验证

关于Sign In with Apple的介绍就不讲了,直接进入正题吧!

一、苹果开发者网站的配置

Certificates,IDs & Profiels->Keys->+号


1585892549402.jpg

点击Configure,选择Primary App ID(主应用程序ID,如果你这个账号有多个App的话,都可以用这一个Key),然后点Save。最后一步会有一个私钥(.p8的文件),只能下载一次,所以要保存好。如果丢了只能重新创建一个Key了。这个文件的是后面服务器跟Apple做验证的时候用来加密的,下面会讲到。


开发者中心配置1.jpg
二、Xcode配置和代码

选择Sign in with Apple完,在下面的列表就有了。
添加AuthenticationServices.framework


1585896018396.jpg

导入系统头文件#import

//typedef void (^YDSignInAppleCompletion) (NSString * __nullable errorText,NSString * __nullable appleUserID ,NSString * __nullable identityToken, NSString * __nullable name);
 (void)signInAppleCompletion:(YDSignInAppleCompletion)completion {
    if (@available(iOS 13.0, *)) {
        _completion = completion;
        ASAuthorizationAppleIDProvider *appleIDProvider = [[ASAuthorizationAppleIDProvider alloc] init];
        ASAuthorizationAppleIDRequest *appleIDRequest = [appleIDProvider createRequest];
        appleIDRequest.requestedScopes = @[ASAuthorizationScopeFullName, ASAuthorizationScopeEmail];
        ASAuthorizationController *controller = [[ASAuthorizationController alloc] initWithAuthorizationRequests:@[appleIDRequest]];
        controller.delegate = self;
        controller.presentationContextProvider = self;
        [controller performRequests];
    }
    else {
        if (completion) {
            completion(@"授权失败",nil,nil,nil);
        }
    }
}
#pragma mark - ASAuthorizationControllerDelegate
- (void)authorizationController:(ASAuthorizationController *)controller didCompleteWithAuthorization:(ASAuthorization *)authorization NS_SWIFT_NAME(authorizationController(controller:didCompleteWithAuthorization:))  API_AVAILABLE(ios(13.0)) {
    if ([authorization.credential isKindOfClass:[ASAuthorizationAppleIDCredential class]]) {
        ASAuthorizationAppleIDCredential *appleIDCredential = (ASAuthorizationAppleIDCredential *)authorization.credential;
        //Apple用户的唯一标识符,可以理解为微信等第三方的open_id
        NSString *user = appleIDCredential.user;
        //这三个字段只有第一次授权的时候有,后续再用苹果登录就会是空了,可在手机的设置《密码与安全性》删掉授权来测试看看
        NSString *familyName = appleIDCredential.fullName.familyName;
        NSString *givenName = appleIDCredential.fullName.givenName;
        NSString *email = appleIDCredential.email;
        //服务器验证使用的参数
        //identityToken是JWT格式的数据,解开的内容在下面的服务器验证会写
        NSString *identityToken = [[NSString alloc] initWithData:appleIDCredential.identityToken encoding:NSUTF8StringEncoding];
        //authorizationCode也是JWT格式的数据调用Apple验证接口(https://appleid.apple.com/auth/token)会用到
        NSString *authorizationCode = [[NSString alloc] initWithData:appleIDCredential.authorizationCode encoding:NSUTF8StringEncoding];
        NSLog(@"identityToken = %@",identityToken);
        NSLog(@"authorizationCode = %@",authorizationCode);
        
        if (self.completion) {
            NSString *name = nil;
            if (appleIDCredential.fullName.familyName && appleIDCredential.fullName.givenName) {
                name = [NSString stringWithFormat:@"%@%@",appleIDCredential.fullName.familyName,appleIDCredential.fullName.givenName];
            }
            self.completion(nil, appleIDCredential.user, identityToken, name);
        }
    }
    else {
        if (self.completion) {
            self.completion(@"授权失败" ,nil, nil, nil);
        }
    }
}
- (void)authorizationController:(ASAuthorizationController *)controller didCompleteWithError:(NSError *)error  NS_SWIFT_NAME(authorizationController(controller:didCompleteWithError:))  API_AVAILABLE(ios(13.0)) {
    NSLog(@"Handle error:%@", error);
    if (self.completion) {
        self.completion(@"授权失败" ,nil, nil, nil);
    }
}
#pragma mark - ASAuthorizationControllerPresentationContextProviding
- (ASPresentationAnchor)presentationAnchorForAuthorizationController:(ASAuthorizationController *)controller  API_AVAILABLE(ios(13.0)){
    return [UIApplication sharedApplication].windows.lastObject;
}

用户端差不多就是这样来,后续就是api服务器和苹果服务器的验证相关了。

三、服务器验证

推荐大家先看下JWT的教程
然后可以先下苹果授权登陆后端如何验证,我就是看的这篇文章做的验证方案。文章中写了两种方案,我会在后续等下写下我写代码和测试的理解。
有点累,等下再写.........


2020.4.13补充(AppStore已通过审核),刚开始写的上面关于JWT的教程和后端如何验证的链接错了,已修改。
因为在苹果授权登陆后端如何验证已经写的比较完整了,我就补充一细节就好。
1、基于JWT的算法验证
i 先通过Apple的接口(https://appleid.apple.com/auth/keys)获取公钥,转成一个json文件并存到服务器。

公钥接口Postman的截图.jpg

ii 解析App苹果登录获取的参数identityToken(JWT格式)
JWT是点分三段式数据,第一段通过base64解码后获得密钥ID和加密算法。用密钥ID去遍历上面的公钥数组获取对应的公钥json数据,然后公钥json数据的"n"、"e"和"alg"字段转成一个可用的公钥。有的语言(例如PHP,我们后段就是用PHP写的)是有方法可以直接将单个key的json直接转成可用公钥匙的。
转化成可用公钥.png

iii 验证identityToken数据(一般需要导入JWT的工具库,根据后段语言到网上去下就好)
使用上面的转化完的公钥去解identityToken可获得下面的数据
identityToken解后的数据.jpg

主要验证"iss"、"aud"和是否过期(就是exp和iat字段,其实真正测试的时候发现一把的JWT工具去解的时候如果过期了会直接报错的)。iss是个固定值https://appleid.apple.com,而aud就是你app的Bundle Identifier。验证通过后使用sub字段(苹果用户登录某个APP的唯一标识符)去字符数据去查询是否注册过或绑定过就好。
2、基于授权码(authorizationCode)的后端验证
i 先写两个json文件header.json和payload.json,这里是为了方便配置,直接写代码里也可以的。
header.png

payload.png

payload中的iat和exp就是开始时间和过期时间,最好写在代码了,我这里是测试所以直接写里面了。
ii 生成client_secret
用i中的header、payload和开发者网站download下来的私钥使用jwt加密得到一个字符串就是请求验证要用的client_secret了。
iii 调用苹果的api验证
苹果的验证api为https://appleid.apple.com/auth/token。苹果的官方文档
官方文档.png

iiii 验证返回值的有效性
这个就不详述了,参考文档就好,能写到这里验证返回值一看就懂了。
两个方法第一种会比较快,毕竟不用调用苹果的验证api了。但是我总觉得第二种看起来安全一些。
补充一个公钥和私钥的加解密相关的逻辑,第一种验证方法的identityToken应该是苹果的私钥加密,然后我们用苹果的公钥去解密;第二种方法是用我们下载的私钥加密,调用验证api后苹果用公钥解密。
还有遇到坑的话,在评论里问就行。
ps:如果偷懒其实不用验证,App这边拿到用户ID了,服务器直接去查有没有注册过或绑定过用户就可以了。毕竟我用了第一种方法提交审核通过了,所以苹果审核这边根本不管你有没有验证,数据是否安全有效不关他的事。

你可能感兴趣的:(iOS 13-Sign In with Apple(苹果登录)APP+后端验证)