Sign In With Apple

前言

在 WWDC 2019 上,苹果推出了 Sign in with Apple 功能。同时审核指南加入 4.8 Sign in with Apple 一条,要求所有使用第三方登录的App,都必须接入AppleID登录 。已经上架的 App 需在 2020 年 4 月 前完成接入工作,新上架 App(如果支持三方登录)必须接入。针对这次在项目中集成的经验,梳理了一篇前后端配合开发的流程

客户端

1.在证书配置管理中心,配置Sign In with Apple功能

image.png

2.创建用户客户端身份验证的私钥,勾选Sign In with Apple,单击Configure按钮,选择正确的Primary App ID,保存之后,生成一个新的私钥,该文件以.p8结尾。注意该私钥只能能下载一次,请务必把该文件保存好

image.png

image.png

3.打开Xcode,配置Capability

image.png

4.以上配置完成之后,打开Xcode集成AuthenticationServices.

  • 官方提供了一个 ASAuthorizationAppleIDButton (继承自UIControl),使用这个来创建一个登录按钮。
   private let appleButton: ASAuthorizationAppleIDButton = {
        let button = ASAuthorizationAppleIDButton(authorizationButtonType: .signIn, authorizationButtonStyle: .white)
        return button
    }()
  • 这个按钮具有两种文案类型和三个样式,分别是:
   public enum ButtonType : Int {
        case signIn
        case `continue`
        public static var `default`: ASAuthorizationAppleIDButton.ButtonType { get }
    }
    public enum Style : Int {
        case white
        case whiteOutline
        case black
    }
  • 几种样式的按钮如下


    企业微信截图_1837bfca-d156-4599-b75e-dd1d381ddd3b.png
  • Authorization 发起授权登录请求,ASAuthorizationAppleIDProvider 这个类比较简单,头文件中可以看出,主要用于创建一个 ASAuthorizationAppleIDRequest以及获取对应 userID 的用户授权状态。给创建的 request 设置 requestedScopes ,这是个ASAuthorizationScope 数组,目前只有两个值,ASAuthorizationScopeFullNameASAuthorizationScopeEmail,根据需求去设置即可。然后,创建 ASAuthorizationController ,它是管理授权请求的控制器,给其设置delegatepresentationContextProvider ,最后启动授权 performRequests

    @available(iOS 13.0, *)
    @objc private func onAppleButton() {
        let appleIDProvider = ASAuthorizationAppleIDProvider()
        let request = appleIDProvider.createRequest()
        request.requestedScopes = [ASAuthorization.Scope.fullName, ASAuthorization.Scope.email]
        let appleSignController = ASAuthorizationController(authorizationRequests: [request])
        appleSignController.delegate = self
        appleSignController.presentationContextProvider = self
        appleSignController.performRequests()
    }
  • 设置上下文ASAuthorizationControllerPresentationContextProviding 就一个方法,主要是告诉 ASAuthorizationController 展示在哪个 window
   func presentationAnchor(for controller: ASAuthorizationController) -> ASPresentationAnchor {
        return self.view.window!
    }
  • 用户发起授权请求后,系统就会弹出用户登录验证的页面。


    Snip20191213_11.png
  • 授权回调处理,当我们授权成功后,我们可以在 authorizationController(controller: ASAuthorizationController, didCompleteWithAuthorization authorization: ASAuthorization)这个代理方法中获取到 ASAuthorizationAppleIDCredential,通过这个可以拿到用户的userIDemailfullNameauthorizationCodeidentityToken 以及realUserStatus 等信息。授权失败会走authorizationController(controller: ASAuthorizationController, didCompleteWithError error: Error)这个方法
    func authorizationController(controller: ASAuthorizationController, didCompleteWithAuthorization authorization: ASAuthorization) {
        switch authorization.credential {
        case let appleIdCredential as ASAuthorizationAppleIDCredential:
            let userIdentifier = appleIdCredential.user
            var identityTokenStr: String?
            if let identityToken = appleIdCredential.identityToken {
                identityTokenStr = String(data: identityToken, encoding: String.Encoding.utf8)
            }
            var authCodeStr: String?
            if let authCode = appleIdCredential.authorizationCode {
                authCodeStr = String(data: authCode, encoding: String.Encoding.utf8)
            }
            // 请求后台验证用户信息
            if let authCodeStr = authCodeStr, let identityTokenStr = identityTokenStr {
            // loginAppleid(userIdentifier: userIdentifier, authorizationCode: authCodeStr, identityToken: identityTokenStr)
            }
        default:
            break
        }
        
    }
  • ASAuthorizationAppleIDCredential信息释义:
    User ID: 苹果用户唯一标识符,该值在同一个开发者账号下的所有 App 下是一样的,开发者可以用该唯一标识符与自己后台系统的账号体系绑定起来。
    Verification data: Identity token, code验证数据,用于传给开发者后台服务器,然后开发者服务器再向苹果的身份验证服务端验证本次授权登录请求数据的有效性和真实性
    Account information: 苹果用户信息,包括全名、邮箱等
    Real user indicator: 用于判断当前登录的苹果账号是否是一个真实用户

服务端

以上,从客户端拿到useridentityTokenauthorizationCode 等相关信息。那么怎么来校验信息的正确性呢?
1.对客户端传递过来的identityToken做个校验JWT官网,以某一次授权拿到的数据来举个例子。在上文的授权回调中拿到的identityToken来验证,得到如下结果

identityToken = "eyJraWQiOiJBSURPUEsxIiwiYWxnIjoiUlMyNTYifQ.eyJpc3MiOiJodHRwczovL2FwcGxlaWQuYXBwbGUuY29tIiwiYXVkIjoiY29tLmZjYm94LmhpdmVjb25zdW1lciIsImV4cCI6MTU3NjIxNjc3NSwiaWF0IjoxNTc2MjE2MTc1LCJzdWIiOiIwMDE4NTcuNDBhODZjNDM4MzMwNDczNDgzZjk1YzcyMDA3MzY2YTYuMTAxNSIsImNfaGFzaCI6IjNCQlc1bWlaR3ZEX3RzNkNZdlUwR0EiLCJlbWFpbCI6Im45cHZ2Zms2cnNAcHJpdmF0ZXJlbGF5LmFwcGxlaWQuY29tIiwiZW1haWxfdmVyaWZpZWQiOiJ0cnVlIiwiaXNfcHJpdmF0ZV9lbWFpbCI6InRydWUiLCJhdXRoX3RpbWUiOjE1NzYyMTYxNzV9.Nksq3o1E8UxD4V7GmJB7ZrS0vSj_mm_ybdo7eiSbbAYNk6RnLuaRiJQYtI64mkZ-TqdeBgJmWt5bcSrW1gsWYk85YGeK79cIHaYO7nRIX1-e3_ociEJ3_dCECThrp-aMKZzq0yDz-xzbokZVsI4WmPcKlqhuE6ul2FBHwQrT3bTnxk_jB_4htqGjSW9u2cp2m-WbLrCgsorND3Z7w4KBICcEMqRnVbjTijO__-sgreXrFwDPu3LzccGQMr9cOugJorEe7gIEnACfOSF40YrsZ344SZfZ0VK9O8zOp6BoWw3yORDQiHkRjS0V9Tmi5SHQCGZ17kbjlrPUOQA0HgsVTQ"
image.png

2.服务端向苹果请求验证,服务器通过 https://appleid.apple.com/auth/token 该接口,并拼接指定的参数去验证,接口相关信息苹果有提供 Generate and validate tokens 。请求参数说明
client_idappbundle identifier
client_secret: 需要我们自己生成,下文讲解生成方法
code: 即为手机端获取到的 authorizationCode 信息
grant_type: 固定字符串 authorization_code
拿到上面4个参数之后,发起请求,正确期望如下图所示

image.png

3.生成client_secret。下文代码为 Ruby 代码,确保已安装ruby环境。创建一个secret_gen.rb文件,把下面的代码拷贝进去。执行ruby secret_gen.rb即可生成client_secret

require "jwt"

key_file = "客户端步骤2中生成的私钥.p8文件的路径"
team_id = "Team ID"
client_id = "Bundle ID"
key_id = "Key ID"
validity_period = 180 # In days. Max 180 (6 months) according to Apple docs.

private_key = OpenSSL::PKey::EC.new IO.read key_file

token = JWT.encode(
  {
    iss: team_id,
    iat: Time.now.to_i,
    exp: Time.now.to_i + 86400 * validity_period,
    aud: "https://appleid.apple.com",
    sub: client_id
  },
  private_key,
  "ES256",
  header_fields=
  {
    kid: key_id 
  }
)
puts token
image.png

4.把生成的client_secret代入步骤2中,得到的参数解释看这个文档,拿到id_token其也是一个JWT数据,回到JWT官网decodepayload 部分

image.png

5.验证结果
比对服务端步骤1和步骤4图中的audsub是否一致,若信息一致确定成功登录,其中audappbundleID。由于没有涉及到网页登录所以并没有集成iCloud KeyChain password
以上就是关于 Sign in with Apple 的相关内容和集成方法。

Others

  1. App 使用过程中,还可以通过监听ASAuthorizationAppleIDProviderCredentialRevokedNotification这个通知来判读 revoked 状态。实践证明当appleID授权登录成功和在设置中禁用时都会触发这个通知。
    企业微信截图_8a2fea1d-fb5c-4e56-b690-bbe494723910.png

    2.还可以通过以下方法来获取用户的授权状态
  open func getCredentialState(forUserID userID: String, completion: @escaping (ASAuthorizationAppleIDProvider.CredentialState, Error?) -> Void)

流程图

综上,整理了客户端和服务端以及Apple之间交互的流程

image.png

AuthenticationServices 框架概述

  • 1.Sign In with Apple 使用Apple 登录
  • 2.Password-Based Login 基于密码的登录
  • 3.Web-Based Login 基于web的登录
  • 4.Enterprise Single Sign-On 企业单点登录SSO
  • 5.AutoFill Credential Provider Support自动填充验证提供者支持
  • 6.Web Browser Authentication Session Support web 浏览器认证会话支持
image.png
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,126评论 6 481
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,254评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 152,445评论 0 341
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,185评论 1 278
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,178评论 5 371
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,970评论 1 284
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,276评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,927评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,400评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,883评论 2 323
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,997评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,646评论 4 322
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,213评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,204评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,423评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,423评论 2 352
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,722评论 2 345