蘋果AppId登錄註冊

原創 天涯泛孤舟 2020-06-20 03:21

蘋果授權登陸方式

  1. PC/M端授權登陸,採用協議類似於oauth2協議
  2. App端授權登陸,提供兩種後端驗證方式

開發者後臺配置

詳細配置參考該文檔,手把手教學
https://developer.okta.com/blog/2019/06/04/what-the-heck-is-sign-in-with-apple

1、 PC/M接入方式

  • https://appleid.apple.com/auth/authorize?response_type=code&client_id=&redirect_uri=&state=1234
  • 參考上面的後臺配置,其中client_id對應的是Services ID,redirect_uri就是後臺配置的接收code碼的地址

2、APP端客戶端授權登陸功能開發,可以參考如下文檔

  • https://www.jianshu.com/p/23b46dea2076

重點講解蘋果授權登陸後端如何驗證

針對後端驗證蘋果提供了兩種驗證方式,一種是基於JWT的算法驗證,另外一種是基於授權碼的驗證

1、基於JWT的算法驗證

  • 使用到的Apple公鑰接口:https://appleid.apple.com/auth/keys
  • 詳細接口文檔說明參見:https://developer.apple.com/documentation/signinwithapplerestapi/fetch_apple_s_public_key_for_verifying_token_signature
  • 接口返回值:
{  
"keys": [
    {
      "kty": "RSA", 
      "kid": "AIDOPK1",
      "use": "sig",
      "alg": "RS256",
      "n": "lxrwmuYSAsTfn-lUu4goZSXBD9ackM9OJuwUVQHmbZo6GW4Fu_auUdN5zI7Y1dEDfgt7m7QXWbHuMD01HLnD4eRtY-RNwCWdjNfEaY_esUPY3OVMrNDI15Ns13xspWS3q-13kdGv9jHI28P87RvMpjz_JCpQ5IM44oSyRnYtVJO-320SB8E2Bw92pmrenbp67KRUzTEVfGU4-obP5RZ09OxvCr1io4KJvEOjDJuuoClF66AT72WymtoMdwzUmhINjR0XSqK6H0MdWsjw7ysyd_JhmqX5CAaT9Pgi0J8lU_pcl215oANqjy7Ob-VMhug9eGyxAWVfu_1u6QJKePlE-w",
      "e": "AQAB"
    }  
]
}

kid,爲密鑰id標識,簽名算法採用的是RS256(RSA 256 + SHA 256),kty常量標識使用RSA簽名算法,其公鑰參數爲n和e,其值採用了BASE64編碼,使用時需要先解碼

  • 使用方式:APP內蘋果授權登陸會提供如下幾個參數:userID、email、fullName、authorizationCode、 identityToken
    • userID:授權的用戶唯一標識
    • email、fullName:授權的用戶資料
    • authorizationCode:授權code
    • identityToken:授權用戶的JWT憑證

下面針對identityToken後端驗證做簡要說明:

  • identityToken參考樣例:
// jwt 格式
eyJraWQiOiJBSURPUEsxIiwiYWxnIjoiUlMyNTYifQ.eyJpc3MiOiJodHRwczovL2FwcGxlaWQuYXBwbGUuY29tIiwiYXVkIjoiY29tLnNreW1pbmcuZGV2aWNlbW9uaXRvciIsImV4cCI6MTU2NTY2ODA4NiwiaWF0IjoxNTY1NjY3NDg2LCJzdWIiOiIwMDEyNDcuOTNiM2E3OTlhN2M4NGMwY2I0NmNkMDhmMTAwNzk3ZjIuMDcwNCIsImNfaGFzaCI6Ik9oMmFtOWVNTldWWTNkcTVKbUNsYmciLCJhdXRoX3RpbWUiOjE1NjU2Njc0ODZ9.e-pdwK4iKWErr_Gcpkzo8JNi_MWh7OMnA15FvyOXQxTx0GsXzFT3qE3DmXqAar96nx3EqsHI1Qgquqt2ogyj-lLijK_46ifckdqPjncTEGzVWkNTX8uhY7M867B6aUnmR7u-cf2HsmhXrvgsJLGp2TzCI3oTp-kskBOeCPMyTxzNURuYe8zabBlUy6FDNIPeZwZXZqU0Fr3riv2k1NkGx5MqFdUq3z5mNfmWbIAuU64Z3yKhaqwGd2tey1Xxs4hHa786OeYFF3n7G5h-4kQ4lf163G6I5BU0etCRSYVKqjq-OL-8z8dHNqvTJtAYanB3OHNWCHevJFHJ2nWOTT3sbw
 
// header 解碼
{"kid":"AIDOPK1","alg":"RS256"} 其中kid對應上文說的密鑰id
 
// claims 解碼
{
	"iss":"https://appleid.apple.com",
	"aud":"com.skyming.devicemonitor",
	"exp":1565668086,"iat":1565667486,
	"sub":"001247.93b3a799a7c84c0cb46cd08f100797f2.0704",
	"c_hash":"Oh2am9eMNWVY3dq5JmClbg",
	"auth_time":1565667486
}
 
其中 iss標識是蘋果簽發的,aud是接收者的APP ID,該token的有效期是10分鐘,sub就是用戶的唯一標識

如何驗證?

首先通過identityToken中的header中的kid,然後結合蘋果獲取公鑰的接口,拿到相應的n和e的值,然後通過下面這個方法構建RSA公鑰
 
public RSAPublicKeySpec build(String n, String e) {  
    BigInteger modulus = new BigInteger(1, Base64.decodeBase64(n));
    BigInteger publicExponent = new BigInteger(1, Base64.decodeBase64(e));
    return new RSAPublicKeySpec(modulus, publicExponent);    
}
 
通過下面這個方法驗證JWT的有效性
public int verify(PublicKey key, String jwt, String audience, String subject) {                      
    JwtParser jwtParser = Jwts.parser().setSigningKey(key);              
    jwtParser.requireIssuer("https://appleid.apple.com");        
    jwtParser.requireAudience(audience);
    jwtParser.requireSubject(subject); 
    try {
       Jws<Claims> claim = jwtParser.parseClaimsJws(jwt);
       if (claim != null && claim.getBody().containsKey("auth_time")) {  
          return GlobalCode.SUCCESS;            
       }           
       return GlobalCode.THIRD_AUTH_CODE_INVALID;
    } catch (ExpiredJwtException e) { 
       log.error("apple identityToken expired", e);
       return GlobalCode.THIRD_AUTH_CODE_INVALID;
    } catch (Exception e) {
       log.error("apple identityToken illegal", e);
       return GlobalCode.FAIL_ILLEGAL_REQ;
    }
}
 
使用的JWT工具庫爲:
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

2、基於授權碼的後端驗證

  • 首先需要了解如何構建client_secret,詳細文檔可以參考如下兩個:
  • https://developer.okta.com/blog/2019/06/04/what-the-heck-is-sign-in-with-apple
  • https://developer.apple.com/documentation/signinwithapplerestapi/generate_and_validate_tokens

首先說下client_secret的構建方法:

先在後臺生成授權應用APP ID的密鑰KEY文件,然後下載密鑰文件格式樣例:
 
-----BEGIN PRIVATE KEY-----
   BASE64編碼後的密鑰
-----END PRIVATE KEY-----
 
public  byte[] readKey() throws Exception {
    String temp = "密鑰文件中間的編碼字符串";
    return Base64.decodeBase64(temp);
}
 
構建client_secret關鍵代碼:
 
String client_id = "..."; // 被授權的APP ID
Map<String, Object> header = new HashMap<String, Object>();
header.put("kid", "密鑰id"); // 參考後臺配置
Map<String, Object> claims = new HashMap<String, Object>();
claims.put("iss", "team id"); // 參考後臺配置 team id
long now = System.currentTimeMillis() / 1000;
claims.put("iat", now);
claims.put("exp", now + 86400 * 30); // 最長半年,單位秒
claims.put("aud", "https://appleid.apple.com"); // 默認值
claims.put("sub", client_id);
PKCS8EncodedKeySpec pkcs8EncodedKeySpec = new PKCS8EncodedKeySpec(readKey());
KeyFactory keyFactory = KeyFactory.getInstance("EC");
PrivateKey privateKey = keyFactory.generatePrivate(pkcs8EncodedKeySpec);
String client_secret = Jwts.builder().setHeader(header).setClaims(claims).signWith(SignatureAlgorithm.ES256, privateKey).compact();

如何驗證?

String url = "https://appleid.apple.com/auth/token";
// POST 請求
HttpSynClient client = new HttpSynClient(5000, 5000, 5000, 20);
Map<String, String> form = new HashMap<String, String>();
form.put("client_id", client_id);
form.put("client_secret", client_secret);
form.put("code", code);form.put("grant_type","authorization_code");
form.put("redirect_uri", redirectUrl);
HttpResponse result = client.excutePost(url, form);
System.out.println(result);

返回值樣例:

{
"access_token":"a0996b16cfb674c0eb0d29194c880455b.0.nsww.5fi5MVC-i3AVNhddrNg7Qw",
"token_type":"Bearer",
"expires_in":3600,
"refresh_token":"r9ee922f1c8b048208037f78cd7dfc91a.0.nsww.KlV2TeFlTr7YDdZ0KtvEQQ",
"id_token":"eyJraWQiOiJBSURPUEsxIiwiYWxnIjoiUlMyNTYifQ.eyJpc3MiOiJodHRwczovL2FwcGxlaWQuYXBwbGUuY29tIiwiYXVkIjoiY29tLnNreW1pbmcuYXBwbGVsb2dpbmRlbW8iLCJleHAiOjE1NjU2NjU1OTQsImlhdCI6MTU2NTY2NDk5NCwic3ViIjoiMDAwMjY2LmRiZTg2NWIwYWE3MjRlMWM4ODM5MDIwOWI5YzdkNjk1LjAyNTYiLCJhdF9oYXNoIjoiR0ZmODhlX1ptc0pqQ2VkZzJXem85ZyIsImF1dGhfdGltZSI6MTU2NTY2NDk2M30.J6XFWmbr0a1hkJszAKM2wevJF57yZt-MoyZNI9QF76dHfJvAmFO9_RP9-tz4pN4ua3BuSJpUbwzT2xFD_rBjsNWkU-ZhuSAONdAnCtK2Vbc2AYEH9n7lB2PnOE1mX5HwY-dI9dqS9AdU4S_CjzTGnvFqC9H5pt6LVoCF4N9dFfQnh2w7jQrjTic_JvbgJT5m7vLzRx-eRnlxQIifEsHDbudzi3yg7XC9OL9QBiTyHdCQvRdsyRLrewJT6QZmi6kEWrV9E21WPC6qJMsaIfGik44UgPOnNnjdxKPzxUAa-Lo1HAzvHcAX5i047T01ltqvHbtsJEZxAB6okmwco78JQA"
}

其中id_token是一個JWT,其中claims中的sub就是授權的用戶唯一標識,該token也可以使用上述的驗證方法進行有效性驗證,另外授權code是有時效性的,且使用一次即失效

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Java集合泛型--無泛型、Object泛型、?泛型之間的區別

/** List List<Object> List<Integer> List<?>之間的區別 * 集合之間的轉換和數組轉換之間的差異 * @param args */ public static void main(

hongmin.shm 2020-07-07 21:06:38

JavaWEB項目配置動態數據源

說明 項目中如果需要連接多個數據庫,則需要配置動態數據源,對於使用Spring+MyBatis框架的項目來說配置動態數據源一般需要在SqlMapConfig.xml中配置 接下來是配置步驟: 步驟 在配置JDBC連接的文件中配置

hongmin.shm 2020-07-07 21:06:38

windows下jdk手動安裝jre教程(親測也適用於jdk14)

前言 自己之前一直在用jdk6&&7,公司之前也是用jdk7。後來發現更新了jdk8引入了函數式編程,lambda表達式和stream流的概念,再後來發現JDK更新的速度越來越快了。直到有一天逛技術博客的時候發現出到jdk12了,

龙腾万里sky 2020-07-07 20:46:29

配置JDK環境變量(工欲善其事,必先利其器篇)

1.編輯系統環境變量 2.設置JAVA_HOME “變量名”:JAVA_HOME “變量值”:你安裝的jdk的磁盤路徑,比如D:\Android\Java\jdk1.8.0_121\ 對應你的jdk的安裝路徑 3.設置PATH “變量

龙腾万里sky 2020-07-07 20:46:29

JavaEE:MongoDB安裝與使用

說明: 文檔型數據庫,採用BSON格式。介於關係型數據庫和非關係型數據庫之間,屬於NoSQL數據庫之一。 適合大數據場景使用,大量數據寫入操作。 一個文檔==表中的一行數據,(多個文檔)集合==(多行數據)表,多個集合(表)組成數據庫。

意华 2020-07-07 17:39:58

Flex連接javaEE後臺的可用技術

Flex連接javaEE後臺的可用技術: 1)HTTPService(xml 方式)  2)soap(webservice) 3)Blazeds 4)LiveCycle Data Services 5)一些開源社區的產品分別介紹一

iteye_6836 2020-07-07 16:54:46

Spring事務管理,帶你回顧數據庫事務!

寫在前面: 本文將告訴你:數據庫事務,以及如何使用Spring整理事務,以及用註解開發事務。 作者是一個學生,沒有能力寫得太深,需要的可以去看看大佬們的 手撕Spring源碼。 如果對你有幫助可以點贊支持一下^ _ ^ 作

CodeWhite7 2020-07-07 14:08:28

RESTful API更規範的編程接口風格

寫在前面:本文使用SpringMVC的HiddentHttpMethodFilter過濾器演示Restful的模擬增刪改查 作者還在學習階段,本文內容不深,若寫得不好請見諒。 公衆號:小白編碼 本文目錄REST 風格 U

CodeWhite7 2020-07-07 14:08:27

springmvc靜態資源攔截問題

解決方法1:在web.xml中配置: <servlet-mapping> <!--配置不過濾的靜態資源,以下結尾--> <servlet-name>default</servlet-name

CodeWhite7 2020-07-07 14:08:23

這裏教你怎麼使用SpringIOC,你還是不懂SpringIOC?什麼是控制反轉?

寫在前面: 最近學習Spring告一段落了,這文章可以簡單的告訴你怎麼使用Spring的IOC控制反轉,以及IOC註解開發。 作者是一個學生,沒有能力寫得太深,需要的可以去看看大佬們的手撕Spring源碼。 本文將告訴你:

CodeWhite7 2020-07-07 14:08:23

Spring框架之SpringAOP以及Spring註解開發

寫在前面: 最近學習Spring告一段落了,這文章可以簡單的告訴你什麼是AOP,AOP相關術語,AOP的xml配置,AOP註解開發 。 作者是一個學生,沒有能力寫得太深,需要的可以去看看大佬們的手撕Spring源碼。 如果對

CodeWhite7 2020-07-07 14:08:23

註解開發一直用一直爽,SpringMVC註解

寫在前面:本文簡單講解SpringMVC的一些註解 公衆號:小白編碼 本文目錄第一章:三層架構和MVC三層架構:MVC模型第二章:SpringMVC優勢SpringMVC優勢第三章: SpringMVC入門案例第四章:S

CodeWhite7 2020-07-07 14:08:23

SpringMVC框架攔截器,異常處理與響應,並且實現文件上傳與下載。

寫在前面:本文簡單講解SpringMVC的響應數據處理,以及文件上傳與下載,響應JSON格式,異常處理,攔截器的介紹等。。 作者還在學習階段,如果寫得不好請見諒。 公衆號:小白編碼 本文目錄第一章:響應數據和結果視圖1.

CodeWhite7 2020-07-07 14:08:22

Mybatis輕量化框架學習

寫在前面: Mybatis是一個優秀的框架,今天我給大家介紹一下mybatis的用法,本文特別長,可以和官方文檔一起食用。並且我這裏整理了一份PDF格式的筆記,需要可以找我,全文8W字符,寫得很累,希望能給個贊。 公衆號:小白編

CodeWhite7 2020-07-07 14:08:22

struts.xml配置,三種調用方法的配置

1.使用method屬性調用方法          <!-- 註冊請求 -->          <action name="register" class="com.house.action.UserAction" method="do

wkj888888 2020-07-07 10:01:44