如果你也被 security 坑过 - 授权弹窗

Security 是 Keychain 对应的 command line tool，所有 Keychain 的操作，都能通过 man security 找到。当访问一些命令的时候，可能会需要用户授权，那么就会有一个 UI 的弹窗出来，这对 CI 的机器来说很致命，所以来讨论下如何避免。

环境信息

macOS 10.13.1

钥匙串弹窗应该是非常常见了，第一次跑 Xcode，就会有一个授权的弹窗，输入密码，然后选择 Always allow 以后就不会再输入了。

这个 UI 的操作流程是：

Xcode 需要访问 private key 的 codesign 命令

钥匙串发现当前 private key 未给 Xcode 授权，所以弹窗请求授权

用户授权，并始终允许访问

之后 Xcode 访问，钥匙串鉴权通过，不再弹窗请求。

所以想要跳过弹窗，关键点在于将 Xcode 添加到 private key 的访问权限中。

set-key-partition-list

在 macOS 10.12.5 之后，提供了 security set-key-partition-list 命令，用于设置 key 到 “partition list” 中。作为 ACL（Access Control Lists）的补充，根据应用签名，对访问进行权限控制。

关于 set-key-partition-list 参数，可以查看文档（本来想贴一个文档链接的，结果发现文档很久没更新了，可以通过 man security 进行查看）。

securityset-key-partition-list -S apple-tool:,apple: -s -k$PASSWORD~/Library/Keychains/login.keychain-db

解释一下其中几个参数：

-S：提供的访问权限，多个 key 用逗号分隔。苹果的工具可以用 apple-tool:,apple:，如 codesign 就可以设置这两个 key。

-s：指定用于 codesign 的 private key。

-k：修改 partition list 需要提供钥匙串密码。

所以以上的命令作用为：给 login.keychain 中用于 codesign 的 private key，写入苹果产品的权限。

注意：set-key-partition-lis 对 key 的操作是重写，不是追加。

添加三方应用到 Partition List

如果需要给三方应用权限，可以直接指明 TEAM ID。获取方式：

找到三方应用的二进制路径，比如 QQ 的：/Applications/QQ.app/Contents/MacOS/QQ；

执行：/usr/bin/codesign -d --entitlements :- /Applications/QQ.app/Contents/MacOS/QQ 可以找到 application-groups；

所以，加入腾讯的权限为：-S apple-tool:,apple:,teamid:FN2V63AD2J。

查看 Partition List

查看当前 private key 的 Partition list，security 没有提供单独的操作，而是直接输出整个钥匙串内容：

security dump-keychain -a ~/Library/Keychains/login.keychain-db

最后

不同钥匙串中的 private key 也是需要单独处理的，比如，login.keychain 和 custom.keychain 当中都有相同证书的 private key，他们之间也是独立的，对 login.keychain 添加权限以后，custom.keychain 其实并没有权限。