如何验证“通过Apple登录”中的代码？

Question

我正在尝试验证从重定向Uri上的“使用Apple登录”服务获得的代码。我使用了documentation中的信息来创建帖子数据并生成“ client_secret”。

我得到的答复是：{"error":"invalid_client"}。

我的生成“ client_secret”的函数可以在下面找到：

function encode($data) {
    $encoded = strtr(base64_encode($data), '+/', '-_');
    return rtrim($encoded, '=');
}

function generateJWT($kid, $iss, $sub, $key) {
    $header = [
        'alg' => 'ES256',
        'kid' => $kid
    ];
    $body = [
        'iss' => $iss,
        'iat' => time(),
        'exp' => time() + 3600,
        'aud' => 'https://appleid.apple.com',
        'sub' => $sub
    ];

    $privKey = openssl_pkey_get_private($key);
    if (!$privKey) return false;

    $payload = encode(json_encode($header)).'.'.encode(json_encode($body));
    $signature = '';
    $success = openssl_sign($payloads, $signature, $privKey, OPENSSL_ALGO_SHA256);
    if (!$success) return false;

    return $payload.'.'.encode($signature);
}

在此示例中，我的变量：

$ kid 是我的私钥标识符。在此示例中，它是JYJ5GS7N9K。我从这里https://developer.apple.com/account/resources/authkeys/list

获得了标识符

$ iss 是我在开发人员帐户中的团队标识符。在此示例中为WGL33ABCD6。

$ sub 与“ client_id”具有相同的值。在此示例中，我的“ client_id”是“ dev.hanashi.sign-with-apple”。我从这里的应用程序标识符中获得了客户端ID：https://developer.apple.com/account/resources/identifiers/list

$ key 是我通过开发人员帐户生成的私钥。密钥的格式如下：

-----BEGIN PRIVATE KEY-----
myrandomgeneratedkeybyappledeveloperaccount
-----END PRIVATE KEY-----

这是发出请求的php代码：

$key = <<<EOD
-----BEGIN PRIVATE KEY-----
myrandomgeneratedkeybyappledeveloperaccount
-----END PRIVATE KEY-----
EOD; // replaced with correct key

$kid = 'JYJ5GS7N9K'; // identifier for private key
$iss = 'WGL33ABCD6'; // team identifier
$sub = 'dev.hanashi.sign-in-with-apple'; // my app id

$jwt = generateJWT($kid, $iss, $sub, $key);

$data = [
    'client_id' => $sub,
    'client_secret' => $jwt,
    'code' => $_POST['code'],
    'grant_type' => 'authorization_code',
    'request_uri' => 'https://myurl.tld/redirect.php'
];
$ch = curl_init();

curl_setopt($ch, CURLOPT_URL, 'https://appleid.apple.com/auth/token');
curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_POSTFIELDS, http_build_query($data));
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_USERAGENT, 'Mozilla/5.0 (Windows NT 6.2) AppleWebKit/536.6 (KHTML, like Gecko) Chrome/20.0.1090.0 Safari/536.6');

$serverOutput = curl_exec($ch);

curl_close ($ch);
echo $serverOutput;

我现在从苹果服务器收到响应{"error":"invalid_client"}。我究竟做错了什么？可能是我生成的JWT令牌错误吗？

Answer 1

阅读this，您将对“使用Apple登录”有更好的了解。

Answer 2

对我来说，问题是我忘记在Apple开发人员门户的“服务ID”部分下验证我的域。

您需要下载他们给您的密钥，然后将其上传到： https://example.com/.well-known/apple-developer-domain-association.txt

该网站不会自动进行验证，因此必须单击“验证”按钮并在域旁边显示一个绿色的勾号。此后，我再也没有invalid_client个问题了。

Answer 3

{"error":"invalid_client"}消息可能与openssl_sign函数生成的无效签名有关。必须使用ES256算法对JWT进行签名，并且生成的签名应为两个无符号整数（表示为R和S）的串联。事实证明，openssl_sign函数会生成不正确的DER编码的ASN.1签名。适用于Apple（请参阅here）。

因此解决方案是将openSSL生成的DER编码的ASN.1签名转换为R和S值的简单串联。

这可以通过使用以下功能来完成：

/**
 * @param string $der
 * @param int    $partLength
 *
 * @return string
 */
public static function fromDER(string $der, int $partLength)
{
    $hex = unpack('H*', $der)[1];
    if ('30' !== mb_substr($hex, 0, 2, '8bit')) { // SEQUENCE
        throw new \RuntimeException();
    }
    if ('81' === mb_substr($hex, 2, 2, '8bit')) { // LENGTH > 128
        $hex = mb_substr($hex, 6, null, '8bit');
    } else {
        $hex = mb_substr($hex, 4, null, '8bit');
    }
    if ('02' !== mb_substr($hex, 0, 2, '8bit')) { // INTEGER
        throw new \RuntimeException();
    }
    $Rl = hexdec(mb_substr($hex, 2, 2, '8bit'));
    $R = self::retrievePositiveInteger(mb_substr($hex, 4, $Rl * 2, '8bit'));
    $R = str_pad($R, $partLength, '0', STR_PAD_LEFT);
    $hex = mb_substr($hex, 4 + $Rl * 2, null, '8bit');
    if ('02' !== mb_substr($hex, 0, 2, '8bit')) { // INTEGER
        throw new \RuntimeException();
    }
    $Sl = hexdec(mb_substr($hex, 2, 2, '8bit'));
    $S = self::retrievePositiveInteger(mb_substr($hex, 4, $Sl * 2, '8bit'));
    $S = str_pad($S, $partLength, '0', STR_PAD_LEFT);
    return pack('H*', $R.$S);
}
/**
 * @param string $data
 *
 * @return string
 */
private static function preparePositiveInteger(string $data)
{
    if (mb_substr($data, 0, 2, '8bit') > '7f') {
        return '00'.$data;
    }
    while ('00' === mb_substr($data, 0, 2, '8bit') && mb_substr($data, 2, 2, '8bit') <= '7f') {
        $data = mb_substr($data, 2, null, '8bit');
    }
    return $data;
}
/**
 * @param string $data
 *
 * @return string
 */
private static function retrievePositiveInteger(string $data)
{
    while ('00' === mb_substr($data, 0, 2, '8bit') && mb_substr($data, 2, 2, '8bit') > '7f') {
        $data = mb_substr($data, 2, null, '8bit');
    }
    return $data;
}

，可以在this库中找到。更多详细信息，请点击Apple Sign In, sign JWT for authentication using PHP and openSSL

Answer 4

基于jwt-framework，我制作了一个小程序包以在php中生成Apple客户机密： https://github.com/kissdigital-com/apple-sign-in-client-secret-generator

Answer 5

我多次遇到此错误。这是我可以找到的原因：

• 不正确的域验证和无效的redirect_uri
• 客户ID不正确：您的客户ID可能不正确。
• JWT编码器无法正常工作：也许它不支持ES256算法？
• 请求类型：对于/ auth / authorize，您需要使用x-www-form-urlencode，否则会出现invalid_client错误。

解决这些问题后，我开始遇到invalid_grant错误。这是我一直在做的步骤：

• 我通过JWT创建了client_secret
• 我在网络浏览器上手动导航到https://appleid.apple.com/auth/authorize?response_type=code&state=abcdefg&client_id=com.company.apple-sign-in-abcd&scope=openid&redirect_uri=https://app.com/redirect_uri
• 授权
• 它重定向回后端URL（提供了404，因为尚未部署）。
• 我在
时将代码参数复制到了网址栏中
• 使用复制的code，我将https://appleid.apple.com/auth/token发布到 具有x-www-form-urlencoded参数的端点：
  • 代码
  • client_id
  • client_secret
  • redirect_uri
  • grant_type =“ authorization_code”

如果您损失了几秒钟，code将失效，您将获得invalid_grant 错误。如果您立即在第二秒内复制并粘贴，您将得到答复：

{
    "access_token": "abcdefg",
    "token_type": "Bearer",
    "expires_in": 3600,
    "refresh_token": "abcdefg",
    "id_token": "abcdefghijklmnopqrstu"
}

下一步是使用Apple的公钥解码id_token。