go服务器验证苹果账号登录

最新推荐文章于 2024-06-03 09:33:03 发布
最新推荐文章于 2024-06-03 09:33:03 发布
阅读量2k 收藏 1
点赞数
分类专栏: 综合 文章标签: go语言 后台服务器验证苹果账号登录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/we_are_the_world_123/article/details/114943076
版权

先说一下苹果账号登录及验证的主要流程,如下图所示

App AppleServer AppServer get identityToken 返回 identityToken 提交identityToken和userInfo 获取解密signature的publicKey 返回publicKey Appserver使用publicKey验证identityToken, 验证通过的话就使用userInfo创建本地用户 返回新创建 的本地用户信息 App AppleServer AppServer

我们的后台服务器去验证客户端传递过来的信息,苹果官方提供了两种验证方式,一种是基于JWT的算法验证(这种比较简单),另外一种是基于授权码的验证。

下面主要介绍一下JWT的算法验证

官方参考文档: https://developer.apple.com/documentation/sign_in_with_apple/sign_in_with_apple_rest_api/verifying_a_user

一、客户端请求苹果授权登录,苹果会返回给客户端如下信息:

  • userID: 授权用户的唯一标识(同一开发者账号下不同应用,同一用户的userID一样,类似微信的unionID,苹果账号没有OpenID)
  • email、fullName:授权用户的信息(首次授权带有名称信息,再次授权登录苹果不会再返回名称信息)
  • authorizationCode:授权码
  • identityToken:授权用户的JWT凭证

identityToken示例:部分信息***遮挡

// 数据由 头部、载荷、签名 三部分组成 用 . 号分隔
"identitytoken":“eyJraWQiO***.eyJpc3MiOiJodHRwcz***.M9FvofeR8Bwc2F5n6***"

// header 解码
{"kid":"86D88Kf","alg":"RS256"} 

// claims 解码
{
"iss":"https://appleid.apple.com",  		// 苹果签发的标识
"aud":"com.***.***",						// app id or services id (对应下文的client_id)
"exp":1565668086,							// 过期时间
"iat":1565667486,
"sub":"123***.123***.123**", 				//用户的唯一标识
}

二、如何验证上述信息

根据官方文档,只需验证以下信息:

To verify the identity token, your app server must:
* Verify the JWS E256 signature using the server’s public key
* Verify the nonce for the authentication
* Verify that the iss field contains https://appleid.apple.com
* Verify that the aud field is the developer’s client_id
* Verify that the time is earlier than the exp value of the token

百度翻译一下

要验证身份令牌,您的应用服务器必须:
* 使用服务器的公钥验证JWS E256签名
* 验证nonce身份验证
* 验证该iss字段包含https://appleid.apple.com
* 验证该aud字段是开发人员的client_id
* 验证时间早于exp令牌的值

三、使用go代码演示验证过程

项目可以直接使用jwt-go库,非常方便。github.com/dgrijalva/jwt-go

const (
	PUBLIC_KEY_REQ_URL 			= "https://appleid.apple.com/auth/keys"
	APPLE_URL 					= "https://appleid.apple.com"
	APPLICATION_CLIENT_ID 		= "com.***.***"
)

type JwtClaims struct{
	jwt.StandardClaims
}

type JwtHeader struct {
	Kid 	string 		`json:"kid"`
	Alg 	string 		`json:"alg"`
}

type JwtKeys struct {
	Kty 	string 		`json:"kty"`
	Kid 	string 		`json:"kid"`
	Use 	string 		`json:"use"`
	Alg 	string 		`json:"alg"`
	N 		string 		`json:"n"`
	E 		string 		`json:"e"`
}

// 认证客户端传递过来的token是否有效
func VerifyIdentityToken(cliToken string, cliUserID string) error {
	// 数据由 头部、载荷、签名 三部分组成
	cliTokenArr := strings.Split(cliToken, ".")
	if len(cliTokenArr) < 3 {
		syslog.Logger().Errorln("cliToken Split err ! cliToken = ", cliToken)
		return errors.New("cliToken Split err")
	}

	// 解析cliToken的header获取kid
	cliHeader, err := jwt.DecodeSegment(cliTokenArr[0])
	if err != nil {
		syslog.Logger().Errorln(err.Error())
		return err
	}

	var jHeader JwtHeader
	err = json.Unmarshal(cliHeader, &jHeader)
	if err != nil {
		syslog.Logger().Errorln(err.Error())
		return err
	}

	// 效验pubKey 及 token
	token, err := jwt.ParseWithClaims(cliToken, &JwtClaims{}, func(token *jwt.Token) (interface{}, error) {
		return GetRSAPublicKey(jHeader.Kid), nil
	})

	if err != nil {
		syslog.Logger().Errorln(err.Error())
		return err
	}

	// 信息验证
	if claims, ok := token.Claims.(*JwtClaims); ok && token.Valid {
		if claims.Issuer != APPLE_URL || claims.Audience != APPLICATION_CLIENT_ID || claims.Subject != cliUserID {
			syslog.Logger().Errorln("verify token info fail, info is not match")
			return errors.New("verify token info fail, info is not match")
		}
		// here is verify ok !
	} else {
		return errors.New("token claims parse fail")
	}

	return nil
}

// 向苹果服务器获取解密signature所需要用的publicKey
func GetRSAPublicKey(kid string) *rsa.PublicKey {
	response, err := util.HttpGet(PUBLIC_KEY_REQ_URL, nil)
	if err != nil {
		syslog.Logger().Errorln(err.Error())
		return nil
	}

	var jKeys map[string][]JwtKeys
	err = json.Unmarshal(response, &jKeys)
	if err != nil {
		syslog.Logger().Errorln(err.Error())
		return nil
	}

	// 获取验证所需的公钥
	var pubKey rsa.PublicKey
	// 通过cliHeader的kid比对获取n和e值 构造公钥
	for _, data := range jKeys {
		for _, val := range data {
			if val.Kid == kid {
				n_bin, _ := base64.RawURLEncoding.DecodeString(val.N)
				n_data := new(big.Int).SetBytes(n_bin)

				e_bin, _ := base64.RawURLEncoding.DecodeString(val.E)
				e_data := new(big.Int).SetBytes(e_bin)

				pubKey.N = n_data
				pubKey.E = int(e_data.Uint64())
				break
			}
		}
	}

	if pubKey.E <= 0 {
		syslog.Logger().Errorln("rsa.PublicKey get fail !")
		return nil
	}

	return &pubKey
}

四、接入的过程参考了一些其他人写的文章,发现有些验证的思路不很清晰(从代码中可以看的出来)比较混乱,其实流程很简单,写出来的代码也不多。在参考其他人的文章时,需要多与官方文档比对,这样才能保证正确

撒一片暖阳
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
苹果三方登录,校验identityToken方式,golang服务端处理
xo19882011的专栏
08-09 1174
苹果登录,校验identityToken方式
golang 苹果登录,服务端验证identityToken(真实有效)
weixin_37743259的博客
03-25 6535
介绍 2019年之后,对于Apple App来说,如果要支持第三方登录,则必须同时支持苹果的第三方登录,即Sign in With Apple, 本文主要介绍如何使用Go语言实现Sign in With Apple时服务端的验证, 即Generate and Validate Tokens。或者不支持第三方登录, 直接使用电话号码或者账号密码的方式进行注册以及登录登录流程 流程大概可以描述为: app请求通过Apple进行第三方登录,此时,客户端将会获得包括用户唯一凭证UserID(与微信的
项目推荐:Go Sign In With Apple——无缝整合苹果登录的利器
最新发布
gitblog_00052的博客
06-03 325
项目推荐:Go Sign In With Apple——无缝整合苹果登录的利器 项目地址:https://gitcode.com/Timothylock/go-signin-with-apple 在当今移动与Web应用泛滥的时代,提供便捷且安全的用户登录体验成为了开发者们的共同追求。为满足这一需求,我们发现了一款宝藏开源库——Go Sign In With Apple。本文将深入探讨该项目的特色,...
Go语言实现APPID登录
happy_teemo的博客
04-06 590
package thirdparty import ( "crypto/rsa" "fmt" "github.com/dgrijalva/jwt-go" "github.com/lestrrat-go/jwx/jwk" "github.com/pkg/errors" "github.com/wonderivan/logger" "math/big" "net/http" ) func bigFromByte(s []uint8) *big.Int { ret := new(big.In
接入AppleID登录 go语言实现
tptpppp的博客
08-12 5500
本文是对AppleID登录接入的相关总结,希望对其他人能有帮助。 https://blog.csdn.net/tptpppp/article/details/99288426
apple登录服务端验证
weixin_41976583的博客
11-12 4749
Sign In With Apple 从登陆到服务器验证 服务端向苹果请求验证 手机端需要提交 user 、authorizationCode 、 identityToken 字段信息(code和token字段苹果返回的是 base64 Data 形式,手机端可以先转换 base64 字符串之后在给服务器)到服务器。然后服务器通过 https://appleid.apple.com/auth/token 该接口,并拼接对应参数去验证,接口相关信息苹果有提供 Generate and validate
最新苹果服务器认证,Golang的Apple登录服务器验证package
weixin_42501949的博客
07-29 616
项目地址Go Sign In With AppleA library for validating Apple Sign In tokens written in Golang安装和使用go get github.com/Timothylock/go-signin-with-appleimport "github.com/Timothylock/go-signin-with-apple/apple...
goAppstoreIap:通过苹果验证应用内购买的 go 实现
06-27
5. **服务器验证**:为了增加安全性,通常会将这个验证过程放在后端服务器上进行。Go应用将交易凭证发送到服务器服务器再向苹果进行二次验证。 6. **解码收据**:验证成功后,服务器需要解析收据数据,提取出商品...
苹果登录使用Apple服务端验证登录-JAVA源码
01-20
本知识点将深入探讨如何在后端服务器上使用Java实现Apple服务端验证登录的过程,以及如何对苹果授权登录令牌(JWT)进行校验。 首先,理解Apple登录流程的关键在于Apple的OAuth 2.0和JSON Web Tokens (JWT)。当用户...
苹果授权登陆 服务端验证(java)
03-25
苹果的开发者服务中,苹果授权登陆(Apple Sign In)是一项重要的功能,它允许用户使用他们的Apple ID安全地登录到第三方应用或网站。本资源主要关注的是服务端验证的Java实现,这通常涉及到OAuth 2.0协议和JSON ...
PHP后端实现苹果三方登录/signin-with-apple 授权验证
01-08
后端验证苹果授权用户正确性有两种方式,如下: 利用 identity_token 与 user_id 进行校验,匹配成功,即证明 user_id 是正确的唯一标识。 利用授权 code,加生成 client_secret,进行授权验证。 一、验证 identity_...
go-authcode:authcode的golang实现,会处理好web传输的“”与“ +”问题,同时不会基于字符串进行计算与操作,而会基于字节序列
03-28
验证码 20210328本人主要是需要用他来处理工控系统集成场景数据交互的相关需求,而不是利用网络传输authcode实际上是php时代康盛所贡献的代码,有一段历史了选择使用它进行数据传输前后的加密解密工作主要是因为感觉他是一种“比较标准化的”技术20210327 authcode的golang实现会处理好web传输的“ /”与“ +”问题,为提高性能 对于“ +”与“ /”的问题,采用的替换方式为“ +到-”,“ /到_”同时Enocde方法内部在刚刚生成的动态密钥时就对动态密钥进行了字符替换操作,串行加密处理也是基于替换后的动态密钥完成的而加密后的数据整体,在加密后也立刻实现了字符替换因此无论是使用本包进行Decode还是用自定义包进行Decode,用本包所进行的加密的数据,解密前并不需考虑使用环境是否为网络环境,不需要对数据的字符进行还原预处理不过用其他自动代码工具进行加密的数据,
golang中的支付等加签验签,衫德为例
qq_37575994的博客
01-31 1068
golang自实现加签验签
go语言发送验证码/用户登录/三方登录
weixin_60677608的博客
10-31 1063
go语言的三方登录以及发送短信验证登录注册
unity package manager无法导入包Failed to call Unity ID to get auth code.
qq_38876313的博客
08-10 9537
「unity」package manager无法导入包[Error System.InvalidOperationException: Failed to call Unity ID to get auth code.] 解决方法: 系统 -> 网络 ->高级设置 -> 代理 -> 打开自动发现代理 OK! ! 解决
golang 实现苹果内购服务端验证
Ray
03-22 6024
golang 服务端 对 苹果内购支付返回凭证进行验证,返回
Go语言中使用JWT作为授权令牌
Salted fish in hand, I have the world.
09-03 308
官网 JWT官网 简介 JSON Web Token (JWT)是一个开放标准(RFC 7519), 它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。 该信息可以被验证和信任,因为它是数字签名的。 使用场景 Authorization (授权) : 这是使用JWT的最常见场景。一旦用户登录,后续每个请求都将包含JWT,允许用户访问该令牌允许的路由、服务和资源。 单点登录是现在广泛使用的JWT的一个特性,因为它的开销很小,并且可以轻松地跨域使用。 Information
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值