Sign in with Apple(Object-C)从开发者后台到服务端验证

前言

根据Apple发布的新政策,如果你的App有第三方登录,例如微信、QQ、Facebook、twitter等第三方登录一定需要增加AppleID的登录方式。具体可以参考Apple的官方文档:

https://developer.apple.com/cn/app-store/review/guidelines/#sign-in-with-apple

2020.04月上架或更新的Apple适用:https://developer.apple.com/cn/news/

Apple登录免用户密码输入,并且可以修改显示的名称及隐藏电子邮箱,安全性很高。

准备工作

Apple原生的SDK只适用于iOS 13.0+ 系统,测试时需要一台13+系统测试机。

升级Xcode 到 11+版本。

开发者后台对应的indentify下勾选 sign in with apple登录选项,重新下载profiler文件。步骤如下:

登录您的Apple开发者账号-

选择左边 Identifier 栏目,在右侧选择要开通 苹果授权登录(Sign in with Apple)Identifiers 点击打开。

下拉找到 Sign In with Apple 打钩。

点击 右上角 save 保存会出现 Modify App Capabilities 弹窗 点击 Confirm

注:开启后 profile 将失效需要重新编辑 profile 文件。

在xcode项目中开启sign in with apple,步骤如下:

在左侧PROJECT中选择对应的项目target

选择signing & capabilities,点击Capability,搜索sign in with apple,双击即可。

开发工作(object-c编写)

基本流程

创建 Apple登录Button

向Apple发起请求

处理Apple登录后的结果

将Apple登录后的用户信息传给服务器端验证(可选)

处理用户更换AppleID或停用AppleID问题。

初次登录时可以让用户编辑显示的用户名及是否隐藏邮箱,第二次登录之后用户进行认证即可。

苹果开发官方文档:https://developer.apple.com/documentation/authenticationservices

添加依赖库

在选择project-build phase -link binary with libraries-搜索 AuthenticationServices.framework 添加。

创建Apple登录Button

Apple提供了官方sign in with apple button,如果需要自定义按钮,自定义按钮的规则如下:https://developer.apple.com/documentation/signinwithapplejs/incorporating_sign_in_with_apple_into_other_platforms

if (@available(iOS 13.0,*)) {

       ASAuthorizationAppleIDButtonType type = ASAuthorizationAppleIDButtonTypeSignIn;

        ASAuthorizationAppleIDButton*  authorizationButton = [ASAuthorizationAppleIDButton buttonWithType:type style:ASAuthorizationAppleIDButtonStyleWhite];

        // add to your viewcontainer

        ....

       [authorizationButton addTarget:self action:@selector(showAppleLogin) forControlEvents:UIControlEventTouchUpInside];

       [_firstLoginView addSubview:authorizationButton];

  }


-(void)showAppleLogin{

  // add your code to apple login

  .....

}

Button 的type有登录类型ASAuthorizationAppleIDButtonTypeSignIn和注册类型ASAuthorizationAppleIDButtonTypeSignUp(只能在13.2+有效,13.0-13.2需要自定义)。

Button的style的有几种类型,但都是黑白配。

向Apple发起请求

苹果还把 iCloud KeyChain password 集成到了这套 API 里,我们在使用的时候,只需要在创建 request 的时候,多创建一个 ASAuthorizationPasswordRequest,这样如果 KeyChain 里面也有登录信息的话,可以直接使用里面保存的用户名和密码进行登录。

#import <AuthenticationServices/AuthenticationServices.h>

-(void)signInWithAppleNative API_AVAILABLE(ios(13.0)){

   ASAuthorizationAppleIDProvider *provider = [[ASAuthorizationAppleIDProvider alloc] init];

   ASAuthorizationAppleIDRequest *authAppleIDRequest = [provider createRequest];

   // 在用户授权期间请求的联系信息

   authAppleIDRequest.requestedScopes = @[ASAuthorizationScopeFullName, ASAuthorizationScopeEmail];


//     ASAuthorizationPasswordRequest *passwordRequest = [[ASAuthorizationPasswordProvider new] createRequest];


   NSMutableArray <ASAuthorizationRequest *>* array = [NSMutableArray arrayWithCapacity:2];

   if (authAppleIDRequest) {

       [array addObject:authAppleIDRequest];

   }

//    if (passwordRequest) {

//        [array addObject:passwordRequest];

//    }

   NSArray <ASAuthorizationRequest *>* requests = [array copy];


   // 由ASAuthorizationAppleIDProvider创建的授权请求 管理授权请求的控制器

   ASAuthorizationController *authorizationController = [[ASAuthorizationController alloc] initWithAuthorizationRequests:requests];

   authorizationController.delegate = self;

    // 设置提供 展示上下文的代理,在这个上下文中 系统可以展示授权界面给用户

   authorizationController.presentationContextProvider = self;


    // 在控制器初始化期间启动授权流

   [authorizationController performRequests];

}

注:

1、sign in with apple 工具类设成全局变量,或使用单例类,如果使用局部变量,和IAP工具类一样苹果的回调不会执行。

2、当启用 ASAuthorizationPasswordRequest 且 停止使用 Apple ID(真机-设置-账户-密码与安全性-使用您 Apple ID 的 App-App列表-停止使用 Apple ID),如果 KeyChain 里面没有登录信息且重新使用 苹果授权登录(Sign in with Apple) 会报未知错误.

SignInWithApple[2759:550203] [core] Authorization failed: Error Domain=AKAuthenticationError Code=-7001 "(null)" UserInfo={AKClientBundleID=com.wangquanwei.SignInWithApple}

接收Apple的回调

// 成功的回调

-(void)authorizationController:(ASAuthorizationController *)controller didCompleteWithAuthorization:(ASAuthorization *)authorization API_AVAILABLE(ios(13.0)){


  // the credential is an Apple ID

   if([authorization.credential isKindOfClass:[ASAuthorizationAppleIDCredential class]]){

       // 获取信息并将信息保存在 钥匙串中

       ASAuthorizationAppleIDCredential *authorizeCredential = authorization.credential;

       NSString * nickname = authorizeCredential.fullName.givenName;

       NSString * userID = authorizeCredential.user; // 同一个开发者账号下的app 返回的值一样的

       NSString * email = authorizeCredential.email;

       NSData * authorizationCode = authorizeCredential.authorizationCode;

       NSData * identityToken =authorizeCredential.identityToken;


       // 将ID保存到钥匙串--示例

       if (userID) {

          [Utility setKeychainValue:[userID dataUsingEncoding:NSUTF8StringEncoding] key:@"appleUserID"];

       }

//        NSLog(@"state: %@", state);

      NSLog(@"userID: %@", userID);

      NSLog(@"fullName: %@", nickname);

      NSLog(@"email: %@", email);

      NSLog(@"authorizationCode: %@", authorizationCode);

      NSLog(@"identityToken: %@", [[NSString alloc] initWithData:identityToken encoding:NSUTF8StringEncoding] );

//       NSLog(@"realUserStatus: %@", @(realUserStatus));

// 示例-将信息回调到服务器端进行验证

      [self setAppleUserCallback:YES userId:userID authorizeCode:authorizationCode identityToken:identityToken name:nickname];



  // If the credential is a password credential, the system displays an alert allowing the user to authenticate with the existing account.

   }else if ([authorization.credential isKindOfClass:[ASPasswordCredential class]]) {

       ASPasswordCredential *passwordCredential = authorization.credential;

       NSString *userIdentifier = passwordCredential.user;

       NSString *password = passwordCredential.password;


       // 可以直接登录

//        NSLog(@"userIdentifier: %@", userIdentifier);

//        NSLog(@"password: %@", password);

       [self setAppleUserCallback:YES userId:userIdentifier authorizeCode:nil identityToken:nil name:nil];

   }  

}

// 失败的回调

- (void)authorizationController:(ASAuthorizationController *)controller didCompleteWithError:(NSError *)error

API_AVAILABLE(ios(13.0)){


   NSString * errorMsg = nil;

   AppleLoginCallbackVO *kvo = [[AppleLoginCallbackVO alloc] init];

   kvo.isSucceed = NO;

   switch (error.code) {

       case ASAuthorizationErrorCanceled:

           errorMsg = @"Authorization is cancled.";

           break;

       case ASAuthorizationErrorFailed:

           errorMsg = @"Authorize failed.";

           break;

       case ASAuthorizationErrorInvalidResponse:

           errorMsg = @"Authoraized response invalid.";

           break;

       case ASAuthorizationErrorNotHandled:

           errorMsg = @"Authorization can not handle.";

           break;

       case ASAuthorizationErrorUnknown:

       default:

            errorMsg = @"Unknown reason failed for authorization.";

           break;

   }

}

注意:

获取的用户信息中:email、NSPersonNameComponents对象所有属性是只有第一次请求的时候才会返回,之后就算 停止使用 Apple ID 再重新授权都不会返回用户信息

authorizeCredential.user 是用户的唯一ID,同一个开发者账号下这个ID一致。

authorizeCredential.authorizationCode验证码,每次返回的不一样,看服务端使用那种验证方式而定是否使用。

authorizeCredential.identityToken用户的验证token,有一定的有效期,到期后会刷新。

Apple建议将用户ID保存在钥匙串中以便在App启动的时候进行检查AppleID的登录状态。

用户注销 AppleId 或 停止使用 Apple ID 的状态处理

在application:didFinishLaunchingWithOptions进行APPID的登录状态检查。

-(void)checkAuthoriza API_AVAILABLE(ios(13.0)){

  // 从钥匙串中取出用户ID

   NSData* appleUserId = [tility valueKeyChain:@"appleUserID"];

   if (appleUserId) {

       NSString *appleIdentifyId = [[NSString alloc] initWithData:appleUserId encoding:NSUTF8StringEncoding];

       ASAuthorizationAppleIDProvider *provider = [ASAuthorizationAppleIDProvider new];


       [provider getCredentialStateForUserID:appleIdentifyId completion:^(ASAuthorizationAppleIDProviderCredentialState credentialState, NSError * _Nullable error) {

           switch (credentialState) {

               case ASAuthorizationAppleIDProviderCredentialAuthorized:

                   //

                   NSLog(@"has authorized");

                   break;

               case ASAuthorizationAppleIDProviderCredentialRevoked:

                   NSLog(@"revoked,please sign out apple login");

                   // 删除钥匙串保存的信息

                   [Utility removeObjectKeyChainForKey:@"appleUserID"];

                   // 登出Apple登录,等待下次重新登录

                   break;

               case ASAuthorizationAppleIDProviderCredentialNotFound:

                   NSLog(@"not found....");

                   [Utility removeObjectKeyChainForKey:@"appleUserID"];

               default:

                   break;

           }

       }];

   }

}

2、检查用户的APPID的登录状态还可以使用观察者的方式

// 注册通知

[[NSNotificationCenter defaultCenter] addObserver:self selector:@selector(handleSignInWithAppleStateChanged:) name:ASAuthorizationAppleIDProviderCredentialRevokedNotification object:nil];

#pragma mark- apple授权状态 更改通知

- (void)handleSignInWithAppleStateChanged:(NSNotification *)notification

{

   NSLog(@"%@", notification.userInfo);

}

服务端验证

服务端验证分两种验证方式:一种是验证码验证、一种是JWT验证。具体详见Apple 官方文档:https://developer.apple.com/documentation/signinwithapplerestapi

手机端需要提交 user 、authorizationCode 、 identityToken 字段信息(code和token字段苹果返回的是 base64 Data 形式,手机端可以先转换 base64 字符串之后在给服务器)到服务器。然后服务器通过 https://appleid.apple.com/auth/token 该接口,并拼接对应参数去验证,接口相关信息苹果有提供。

参数介绍:

Client_id:App 的BundleID

client_secret:后台生成的JWT key,生成方法见后续。

Code:客户端传过的authorizationCode

grant_type:常量authorizationCode

参数的获取方法:

登录Apple开发者账号-menbership 获取teamid ;

创建private_key:进入证书栏certificates、IDs&Profiles,选择keys标签(如果没有keys标签,可能是您登录的Apple开发者账号不是超管账号,没有权限。)-现在添加--给key命名并选择对应的bundleid。

注:该private_key只能下载一次。

根据Apple返回的结果中sub字段即是用户的ID,可以和手机端的user字段对比验证。

Q&A

找不到AuthenticationServices

AuthenticationServices 是只有在iOS13+系统才有效,在使用对应API的时候需要限定是 13.0+

无法引入App.kit [AppKit is not available when building for iOS. Consider using #if TARGET_OS_MACCATALYST to conditionally import this framework when building for Mac Catalyst, first importing TargetConditionals.h if necessary.

按照提示在引入App.kit 增加判断:

#if TARGET_OS_MACCATALYST

   #import <AppKit/AppKit.h>

#endif

Authorization failed: Error Domain=AKAuthenticationError Code=-7001 "(null)"

停止使用 ASAuthorizationPasswordRequest。

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 213,992评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,212评论 3 388
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 159,535评论 0 349
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,197评论 1 287
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,310评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,383评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,409评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,191评论 0 269
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,621评论 1 306
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,910评论 2 328
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,084评论 1 342
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,763评论 4 337
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,403评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,083评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,318评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,946评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,967评论 2 351

推荐阅读更多精彩内容