前言

在 WWDC 2019 上，蘋果推出了 Sign in with Apple 功能。同時審核指南加入 4.8 Sign in with Apple 一條，要求所有使用第三方登錄的App，都必須接入AppleID登錄 。已經(jīng)上架的 App 需在 2020 年 4 月 前完成接入工作，新上架 App（如果支持三方登錄）必須接入。針對這次在項目中集成的經(jīng)驗，梳理了一篇前后端配合開發(fā)的流程

客戶端

1.在證書配置管理中心，配置Sign In with Apple功能

image.png

2.創(chuàng)建用戶客戶端身份驗證的私鑰，勾選Sign In with Apple，單擊Configure按鈕，選擇正確的Primary App ID，保存之后，生成一個新的私鑰，該文件以.p8結尾。注意該私鑰只能能下載一次，請務必把該文件保存好。

image.png

image.png

3.打開Xcode，配置Capability

image.png

4.以上配置完成之后，打開Xcode集成AuthenticationServices.

• 官方提供了一個 ASAuthorizationAppleIDButton （繼承自UIControl），使用這個來創(chuàng)建一個登錄按鈕。

   private let appleButton: ASAuthorizationAppleIDButton = {
        let button = ASAuthorizationAppleIDButton(authorizationButtonType: .signIn, authorizationButtonStyle: .white)
        return button
    }()

• 這個按鈕具有兩種文案類型和三個樣式，分別是：

   public enum ButtonType : Int {
        case signIn
        case `continue`
        public static var `default`: ASAuthorizationAppleIDButton.ButtonType { get }
    }

    public enum Style : Int {
        case white
        case whiteOutline
        case black
    }

• 幾種樣式的按鈕如下

  
  
  企業(yè)微信截圖_1837bfca-d156-4599-b75e-dd1d381ddd3b.png

• Authorization 發(fā)起授權登錄請求，ASAuthorizationAppleIDProvider 這個類比較簡單，頭文件中可以看出，主要用于創(chuàng)建一個 ASAuthorizationAppleIDRequest以及獲取對應 userID 的用戶授權狀態(tài)。給創(chuàng)建的 request 設置 requestedScopes ，這是個ASAuthorizationScope 數(shù)組，目前只有兩個值，ASAuthorizationScopeFullName 和 ASAuthorizationScopeEmail，根據(jù)需求去設置即可。然后，創(chuàng)建 ASAuthorizationController ，它是管理授權請求的控制器，給其設置delegate 和 presentationContextProvider ，最后啟動授權 performRequests

    @available(iOS 13.0, *)
    @objc private func onAppleButton() {
        let appleIDProvider = ASAuthorizationAppleIDProvider()
        let request = appleIDProvider.createRequest()
        request.requestedScopes = [ASAuthorization.Scope.fullName, ASAuthorization.Scope.email]
        let appleSignController = ASAuthorizationController(authorizationRequests: [request])
        appleSignController.delegate = self
        appleSignController.presentationContextProvider = self
        appleSignController.performRequests()
    }

• 設置上下文ASAuthorizationControllerPresentationContextProviding 就一個方法，主要是告訴 ASAuthorizationController 展示在哪個 window上

   func presentationAnchor(for controller: ASAuthorizationController) -> ASPresentationAnchor {
        return self.view.window!
    }

• 用戶發(fā)起授權請求后，系統(tǒng)就會彈出用戶登錄驗證的頁面。

  
  
  Snip20191213_11.png
• 授權回調(diào)處理，當我們授權成功后，我們可以在 authorizationController(controller: ASAuthorizationController, didCompleteWithAuthorization authorization: ASAuthorization)這個代理方法中獲取到 ASAuthorizationAppleIDCredential，通過這個可以拿到用戶的userID、email、fullName、authorizationCode、identityToken 以及realUserStatus 等信息。授權失敗會走authorizationController(controller: ASAuthorizationController, didCompleteWithError error: Error)這個方法

    func authorizationController(controller: ASAuthorizationController, didCompleteWithAuthorization authorization: ASAuthorization) {
        switch authorization.credential {
        case let appleIdCredential as ASAuthorizationAppleIDCredential:
            let userIdentifier = appleIdCredential.user
            var identityTokenStr: String?
            if let identityToken = appleIdCredential.identityToken {
                identityTokenStr = String(data: identityToken, encoding: String.Encoding.utf8)
            }
            var authCodeStr: String?
            if let authCode = appleIdCredential.authorizationCode {
                authCodeStr = String(data: authCode, encoding: String.Encoding.utf8)
            }
            // 請求后臺驗證用戶信息
            if let authCodeStr = authCodeStr, let identityTokenStr = identityTokenStr {
            // loginAppleid(userIdentifier: userIdentifier, authorizationCode: authCodeStr, identityToken: identityTokenStr)
            }
        default:
            break
        }
        
    }

• ASAuthorizationAppleIDCredential信息釋義：
  User ID: 蘋果用戶唯一標識符，該值在同一個開發(fā)者賬號下的所有 App 下是一樣的，開發(fā)者可以用該唯一標識符與自己后臺系統(tǒng)的賬號體系綁定起來。
  Verification data: Identity token, code驗證數(shù)據(jù)，用于傳給開發(fā)者后臺服務器，然后開發(fā)者服務器再向蘋果的身份驗證服務端驗證本次授權登錄請求數(shù)據(jù)的有效性和真實性
  Account information: 蘋果用戶信息，包括全名、郵箱等
  Real user indicator: 用于判斷當前登錄的蘋果賬號是否是一個真實用戶

服務端

以上，從客戶端拿到user 、 identityToken 、 authorizationCode 等相關信息。那么怎么來校驗信息的正確性呢？
1.對客戶端傳遞過來的identityToken做個校驗JWT官網(wǎng)，以某一次授權拿到的數(shù)據(jù)來舉個例子。在上文的授權回調(diào)中拿到的identityToken來驗證，得到如下結果

identityToken = "eyJraWQiOiJBSURPUEsxIiwiYWxnIjoiUlMyNTYifQ.eyJpc3MiOiJodHRwczovL2FwcGxlaWQuYXBwbGUuY29tIiwiYXVkIjoiY29tLmZjYm94LmhpdmVjb25zdW1lciIsImV4cCI6MTU3NjIxNjc3NSwiaWF0IjoxNTc2MjE2MTc1LCJzdWIiOiIwMDE4NTcuNDBhODZjNDM4MzMwNDczNDgzZjk1YzcyMDA3MzY2YTYuMTAxNSIsImNfaGFzaCI6IjNCQlc1bWlaR3ZEX3RzNkNZdlUwR0EiLCJlbWFpbCI6Im45cHZ2Zms2cnNAcHJpdmF0ZXJlbGF5LmFwcGxlaWQuY29tIiwiZW1haWxfdmVyaWZpZWQiOiJ0cnVlIiwiaXNfcHJpdmF0ZV9lbWFpbCI6InRydWUiLCJhdXRoX3RpbWUiOjE1NzYyMTYxNzV9.Nksq3o1E8UxD4V7GmJB7ZrS0vSj_mm_ybdo7eiSbbAYNk6RnLuaRiJQYtI64mkZ-TqdeBgJmWt5bcSrW1gsWYk85YGeK79cIHaYO7nRIX1-e3_ociEJ3_dCECThrp-aMKZzq0yDz-xzbokZVsI4WmPcKlqhuE6ul2FBHwQrT3bTnxk_jB_4htqGjSW9u2cp2m-WbLrCgsorND3Z7w4KBICcEMqRnVbjTijO__-sgreXrFwDPu3LzccGQMr9cOugJorEe7gIEnACfOSF40YrsZ344SZfZ0VK9O8zOp6BoWw3yORDQiHkRjS0V9Tmi5SHQCGZ17kbjlrPUOQA0HgsVTQ"

image.png

2.服務端向蘋果請求驗證，服務器通過 https://appleid.apple.com/auth/token 該接口，并拼接指定的參數(shù)去驗證，接口相關信息蘋果有提供 Generate and validate tokens 。請求參數(shù)說明
client_id：app的 bundle identifier
client_secret: 需要我們自己生成，下文講解生成方法
code: 即為手機端獲取到的 authorizationCode 信息
grant_type： 固定字符串 authorization_code
拿到上面4個參數(shù)之后，發(fā)起請求，正確期望如下圖所示

image.png

3.生成client_secret。下文代碼為 Ruby 代碼，確保已安裝ruby環(huán)境。創(chuàng)建一個secret_gen.rb文件，把下面的代碼拷貝進去。執(zhí)行ruby secret_gen.rb即可生成client_secret

require "jwt"

key_file = "客戶端步驟2中生成的私鑰.p8文件的路徑"
team_id = "Team ID"
client_id = "Bundle ID"
key_id = "Key ID"
validity_period = 180 # In days. Max 180 (6 months) according to Apple docs.

private_key = OpenSSL::PKey::EC.new IO.read key_file

token = JWT.encode(
  {
    iss: team_id,
    iat: Time.now.to_i,
    exp: Time.now.to_i + 86400 * validity_period,
    aud: "https://appleid.apple.com",
    sub: client_id
  },
  private_key,
  "ES256",
  header_fields=
  {
    kid: key_id 
  }
)
puts token

image.png

4.把生成的client_secret代入步驟2中，得到的參數(shù)解釋看這個文檔，拿到id_token其也是一個JWT數(shù)據(jù)，回到JWT官網(wǎng)decode 出 payload 部分

image.png

5.驗證結果
比對服務端步驟1和步驟4圖中的aud與sub是否一致，若信息一致確定成功登錄，其中aud為app的bundleID。由于沒有涉及到網(wǎng)頁登錄所以并沒有集成iCloud KeyChain password
以上就是關于 Sign in with Apple 的相關內(nèi)容和集成方法。

Others

1. 在 App 使用過程中，還可以通過監(jiān)聽ASAuthorizationAppleIDProviderCredentialRevokedNotification這個通知來判讀 revoked 狀態(tài)。實踐證明當appleID授權登錄成功和在設置中禁用時都會觸發(fā)這個通知。
   企業(yè)微信截圖_8a2fea1d-fb5c-4e56-b690-bbe494723910.png
   
   2.還可以通過以下方法來獲取用戶的授權狀態(tài)

  open func getCredentialState(forUserID userID: String, completion: @escaping (ASAuthorizationAppleIDProvider.CredentialState, Error?) -> Void)

流程圖

綜上，整理了客戶端和服務端以及Apple之間交互的流程

image.png

AuthenticationServices 框架概述

• 1.Sign In with Apple 使用Apple 登錄
• 2.Password-Based Login 基于密碼的登錄
• 3.Web-Based Login 基于web的登錄
• 4.Enterprise Single Sign-On 企業(yè)單點登錄SSO
• 5.AutoFill Credential Provider Support自動填充驗證提供者支持
• 6.Web Browser Authentication Session Support web 瀏覽器認證會話支持

image.png