【苹果登录】使用Apple账号登录你的APP(服务端原理介绍+Java实现)

已于 2023-10-24 10:52:29 修改
阅读量2.8k 收藏 11
点赞数 3
文章标签: java 开发语言 苹果登录 1024程序员节
于 2023-06-30 17:14:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43002640/article/details/131478868
版权

苹果登录的服务端验证原理和实现

前言

为什么要用苹果登录?在国内大多数人应该都是使用的微信登录或者手机号一键登录多一些。之所以要开发苹果登录,可能大多是因为苹果的霸王条款:要求只要在苹果商店上架的应用,凡是接入了其他第三方登录,必须接入苹果登录。

虽然苹果的霸王条款很让人恼火,但是苹果登录本身还是值得我们学习和思考的。下面介绍一下苹果登录的原理。

铺垫知识(会的可以直接跳过)

在学习苹果登录之前,首先你需要了解以下几个知识点:

  1. 什么是非对称加密,什么是公钥和私钥?
  2. 什么是JWT,这东西是用来干嘛的?
  3. 什么是第三方登录?

下面依次给大家简要介绍一下上面三个知识点:

  • 非对称加密
    我们知道对称加密在加解密时使用的秘钥内容是相同的,而非对称加密在加密和解密时使用不同的秘钥。我们把这两个不同的秘钥一个称为私钥,一个称为公钥。一般私钥由我们自己保留不对外公开,而公钥则可以对外公开下载。这样有什么好处呢?举个例子:我们发布一则公告,使用私钥进行加密,然后把公告放到互联网上。想要看公告的人直接下载我们的公钥,然后用公钥解密公告即可。这样别人就无法仿造我们的公告,因为只有我们提供的公钥才能解密,从而达到对公告信任的目的。

  • JWT是什么
    JWT是什么?直接回答这个问题比较难以理解,我们就拿苹果的JWT举个例子:

{"kid": "W6WcOKB","alg": "RS256"}.{"iss":"https://appleid.apple.com","aud":"com.test","exp":1687776521,"iat":1687690121,"sub":"001001.0bb42737edf44688850c5de5e666d9e.1024","c_hash":"FXhhsDY1Dpabo8_GTID-Lw","auth_time":1687690121,"nonce_supported":true,"real_user_status":2}.xxxxxxxxxxxxxxxxxxxxxxxxxx

我们看到jwt就是一个字符串,由三段字符串组成。

  1. 第一段:{"kid": "W6WcOKB","alg": "RS256"}我们称为头部,标记了这个JWT通过RS256进行加密,(这里的kid是对应的公钥id,这个是苹果特有的)。
  2. 第二段:{"iss":"https://appleid.apple.com","aud":"com.test","exp":1687776521,"iat":1687690121,"sub":"001001.0bb42737edf44688850c5de5e666d9e.1024","c_hash":"FXhhsDY1Dpabo8_GTID-Lw","auth_time":1687690121,"nonce_supported":true,"real_user_status":2}
    这里我们只说关键的几个参数:iss:发布人,固定是苹果的域名;aud:应用的包名;sub:当前用户的唯一ID,类似微信等第三方登录的OpenID;
  3. 第三段:就是校验和类似的东西,没有详细的研究苹果是怎么实现的,但是我们理解技术不必太过纠结,知道他是个校验和的东西就行。比如我可以这么实现,首先将前面的两个部分拼接成一个字符串,然后求一个摘要,再用私钥进行加密后作为第三部分。需要校验时,先求前两部分摘要,然后用公钥解密第三方部分,看解密的结果和我们求出的摘要是否相等即可。
  • 什么是第三方登录?
    其实问为什么需要第三方登录更好。随着我们使用的应用越来越多,如果我们每个都创建一个账户和密码,简直就是噩梦。而我们有微信账号,如果可以直接用微信账号登录多好,一个账号走天下,只要记住微信的密码,能登录微信就可以了,再也不怕忘记密码了。至于通常如何实现第三方登录,可以去了解下OAuth2,这里就不再多说了,不是本文的重点。

APPLE的登录原理

  1. 首先,当你在应用内点击苹果登陆按钮时,苹果会生成一系列的参数给你,其中最重要的一个参数是:identityToken。这个参数的值就是一个JWT。这个JWT是通过苹果的私钥加密的。
  2. 我们将这个identityToken传给我们的后台服务,后台服务从苹果提供的公钥下载地址下载公钥,然后使用公钥验证这个JWT是否合法。
  3. 在合法的前提下,我们看一下iss是否是苹果(显然是),再看aud是不是你自己的包名(别人的应用也可以生成一个token,也可以通过校验,但是包名肯定和你的不同)。都校验通过了,说明这是一个合法JWT。然后我们就取sub作为苹果的OpenId,记录到我们后台的用户表里即可(如果没有用户则创建,如果有则绑定)。等到再次登录的时候,则用sub查询有没有对应的用户,如果有,则直接让其登录即可。

实现(Java)

引入JWT工具包

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>jwks-rsa</artifactId>
    <version>0.22.0</version>
</dependency>

实现代码(以下代码复制就可以直接使用):

  • 校验代码(核心逻辑)
public class AppleAuthHelper {

    private static final String PUBLIC_KEY_URL = "/auth/keys";
    private static final String APPLE_DOMAIN = "https://appleid.apple.com";

    private static final String aud = "com.test";

    public static boolean isValid(AppleAuthRequest appleAuthRequest) {
        try {
            IdentityToken idToken = new IdentityToken(appleAuthRequest.getIdentityToken());
            String userID = appleAuthRequest.getUserID();
            PublicKey publicKey = AppPublicKey.get(APPLE_DOMAIN + PUBLIC_KEY_URL, idToken.getKid());
            if (null == publicKey) {
                return false;
            }
            JwtParser jwtParser = Jwts.parser().setSigningKey(publicKey);
            jwtParser.requireIssuer(APPLE_DOMAIN);
            jwtParser.requireAudience(aud);
            jwtParser.requireSubject(userID);
            Jws<Claims> claim = jwtParser.parseClaimsJws(idToken.getToken());
            if (claim != null && claim.getBody().containsKey("auth_time")) {
                return true;
            }
        } catch (Exception e) {
            log.error("校验apple登录信息失败", e);
        }
        return false;
    }
}
  • 获取公钥代码
public class AppPublicKey {

    public static volatile Map<String, Map<String, Object>> cache = new HashMap<>();

    public static PublicKey get(String url, String kid) {
        try {
            if (cache.containsKey(kid)) {
                Map<String, Object> publicKeyConfig = cache.get(kid);
                Jwk jwa = Jwk.fromValues(publicKeyConfig);
                return jwa.getPublicKey();
            }
            Map<String, Object> publicKeyConfig = getPublicKeyConfig(url, kid);
            if (null == publicKeyConfig) {
                return null;
            }
            Jwk jwa = Jwk.fromValues(publicKeyConfig);
            return jwa.getPublicKey();
        } catch (final Exception e) {
            log.error("apple get publicKey error", e);
        }

        return null;
    }

    private static synchronized Map<String, Object> getPublicKeyConfig(String url, String kid) {
        try {
            String str = HttpUtil.get(url);
            JsonNode jsonNode = JsonHelper.asTree(str);
            JsonNode keys = jsonNode.get("keys");
            if (null == keys) {
                return null;
            }
            Iterator<JsonNode> elements = keys.elements();

            while (elements.hasNext()) {
                JsonNode node = elements.next();
                String nodeKid = node.get("kid").asText();
                if (kid.equals(nodeKid)) {
                    Map<String, Object> item = JsonHelper.toMap(node);
                    cache.put(nodeKid, item);
                }
            }
            return cache.get(kid);
        } catch (final Exception e) {
            log.error("apple get publicKey error", e);
        }
        return null;
    }
}
  • 辅助类(请求参数等)
public class AppleAuthRequest {
    private String authorizationCode;
    private String identityToken;
    private String userID;
    private AppleUserInfo fullName;
}

public class AppleUserInfo {
    private String givenName;
    private String familyName;
    private String middleName;
    private String namePrefix;
    private String nameSuffix;
    private String nickname;
    private String phoneticRepresentation;
}

public class IdentityToken {

    //原始token
    private String token;

    //公钥id
    private String kid;

    //应用包名,应该为:com.test
    private String aud;

    //用户openId
    private String sub;

    @SneakyThrows
    public IdentityToken(String token) {
        this.token = token;
        String[] identityTokens = this.token.split("\\.");
        Map<String, Object> firstDate = JSONObject
                .parseObject(new String(Base64.decodeBase64(identityTokens[0]), "UTF-8"));
        Map<String, Object> secondData = JSONObject
                .parseObject(new String(Base64.decodeBase64(identityTokens[1]), "UTF-8"));

        this.kid = String.valueOf(firstDate.get("kid"));
        this.aud = String.valueOf(secondData.get("aud"));
        this.sub = String.valueOf(secondData.get("sub"));
    }
}

public class JsonHelper {
    private final static ObjectMapper objectMapper = new ObjectMapper();

    public static Map<String,Object> toMap(JsonNode jsonNode){
        return objectMapper.convertValue(jsonNode, new TypeReference<Map<String, Object>>(){});
    }
    public static JsonNode asTree(String strJson) {
        try {
            return objectMapper.readTree(strJson);
        } catch (IOException e) {
            log.error("Deserialize fail", e);
        }
        return null;
    }
}
生活就像一杯茶
关注
  • 3
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 13
    评论
AppleLogin-java苹果登录使用Apple服务端验证登录
02-20
APP苹果登录java初步校准 主要验证苹果授权登录令牌是否正确 主要方法 public RSAPublicKeySpec build(final String n, final String e) { final BigInteger modulus = new BigInteger(1, Base64.decodeBase64(n)); final BigInteger publicExponent = new BigInteger(1, Base64.decodeBase64(e)); return new RSAPublicKeySpec(modulus, publicExponent); } public int verify(final PublicKey key, final String jwt, final String audience, final Strin
苹果授权登陆 服务端验证(java)
03-25
苹果登陆 服务端验证(java)所需jar包,其他包自行查找下载即可
laravel用苹果登录:为您的Laravel应用提供“用苹果登录”功能
02-03
苹果公司一起使用Laravel 支持该软件包 这是一个MIT许可的开源项目,在社区的支持下其不断的发展成为可能。 如果您想对此以及我们的其他软件包提供支持,请考虑通过上面的按钮赞助我们。 目录 要求 PHP 7.3以上 Laravel 8.0+ 社交名胜5.0+ 苹果开发者订阅 安装 安装composer软件包: composer require genealabs/laravel-sign-in-with-apple 我们还建议使用自动管理用户的分辨率和持久性: composer require genealabs/laravel-socialiter 组态 使用以下详细信息为您的网站( )创建一个App ID : 平台:iOS,tvOS,watchOS(我不确定这两种选择是否会对Web应用程序产生影响) 说明:(类似于“ example.com应用ID”) 捆绑ID(明确):com.example.id(或类似名称) 选中“使用Apple登录使用以下详细信息为您的网站( )创建Service ID : 说明:(类似于“ example.com服务I
java大师apple_使用Apple Java用户验证登录
weixin_39528843的博客
02-25 439
小编典典首先进入developer.apple.com->证书,标识符和配置文件->密钥。为Apple登录生成密钥并下载该密钥。您无法再次下载此密钥,因此请将其保存在安全的地方,不要与他人共享。另外,此处显示的“密钥ID”也要注意这一点,以后将需要它。您还需要团队ID。如果您不知道,它会写在页面的右上角,例如YOURNAME-XX0XX00XXX。您将基本上遵循这些步骤。1,通过密钥生...
php实现,appleId授权登录app,sign in apple id
wuye_lh的博客
04-09 1822
一、授权流程图 二、简单逻辑介绍 1.客户端工作就不介绍了,去苹果那边获取数据。 然后将获取到的identity token传递给后端。这个是最主要的,可以附带一些app所需要的用户信息什么的,例如头像等。 2.服务端接受到客户端传递的identity token 然后去苹果要一个公钥,然后解析 苹果的JWT ,identity token。 通过验证如果能验证通过就可以继续往下走业务逻辑了。就是新用户注册,旧用户找到用户记录返回给客户端。 三、php核心代码以及所需要的类 ...
JAVA】接入苹果授权登录
Berserker_winner的博客
03-28 2512
截止目前,调用接口获取苹果公钥,会返回3个公钥信息,每个公钥信息中都有“kid”这个字段,需要获取解码identityToken头信息中“kid”值匹配的公钥,而不是直接拿返回的公钥数组中第一个公钥来做校验,否者会报如下错误 io.jsonwebtoken.SignatureException: JWT signature does not match locally computed signature. JWT validity cannot be asserted and should not be
iOS 登录功能的实现
weixin_34319817的博客
12-15 511
#import "AppDelegate.h" 中 - (BOOL)application:(UIApplication *)application didFinishLaunchingWithOptions:(NSDictionary *)launchOptions { // Override point for customization after application la...
苹果iOS app登录功能的实现_网页登录功能的实现
01-11
苹果iOS app登录功能的实现
IOS开发登录注册的功能
02-27
一个APP,先登录注册,登录成功之后,显示主页面,主页面是由UITabBarController和UINavgationController管理,里面有注销登录的方法,注销登录之后,再次回到登录页面;
iOS引导登录功能的实现
05-11
iOS引导登录功能的实现
苹果登录使用Apple服务端验证登录-JAVA源码
01-20
APP苹果登录java初步校准 主要验证苹果授权登录令牌是否正确 主要方法如下
iOS引导登录功能的简单实现
05-11
iOS引导登录功能的简单实现
PHP后端实现苹果三方登录/signin-with-apple 授权验证
01-08
关于苹果授权,官方文档写的不仔细,但还是要看一下 ...一、验证 identity_token 与 user_id (建议使用,方便) 安装PHP扩展包(支持php5.6及以上):composer require wubuwei/php-apple
Java苹果服务器推送消息(Java实现HTTP/2协议发送APNS)
05-23
使用Java实现APNs推送,你需要以下组件: 1. **证书和密钥**:首先,你需要从Apple Developer Portal获取一个APNs证书和对应的私钥。这些文件通常以.p12格式提供,包含了你的开发者身份验证信息。 2. **Java ...
苹果apple账号授权登录第三方APP
weixin_43851408的博客
11-11 4507
Apple官方文档 前言:由于公司最近有个业务需求是要进行Apple账号授权登录,于是我看边看文档边借鉴其他人的写法,发现好多文章都有一个共性,一个是在解析JWT的时候自己设置参数后进行判断,这样做没什么意义,另外一个就是大多数人直接取苹果公钥的第二个值进行验证,这样写法是错的,正常做法是将jwt的hender进行解开,得到kid,然后根据kid苹果公钥进行匹配得到正确的keys。下面分享我自己的写法。 一:获取苹果公钥 https://appleid.apple.com/auth/keys 获取完了之
【三方登录-Apple】iOS 苹果授权登录(sign in with Apple)之开发者配置一
最新发布
十一逐星的博客
10-31 4864
关于使用 Apple进行三方登录(Sign in with App使用“通过 Apple 登录”可让用户设置帐户并使用Apple ID登录您的应用程序和关联网站。首先使用使用Apple 登录”功能启用应用程序的App ID。如果您是首次启用应用程序 ID 或为新应用程序启用应用程序 ID,请启用该应用程序ID 作为主要应用程序 ID。您可以单独使用主应用程序 ID,也可以通过分组为相关应用程序和网站启用标识符。要为相关应用程序启用应用程序ID(例如,Mac 应用程序的 iOS 版本的应用程序 ID
java app token验证_AppleID 授权登陆AppJava后端验证)
weixin_36245958的博客
02-12 1684
import java.math.BigInteger;import java.security.KeyFactory;import java.security.PublicKey;import java.security.spec.RSAPublicKeySpec;import java.util.HashMap;import java.util.Map;import org.apache.co...
Sign In with Apple - 使用苹果账号登录你的应用
热门推荐
寻找改变未来的算法
09-24 2万+
编辑:老峰,作者:KANGZUBIN来源:小专栏《WWDC19 内参》苹果在 9 月 12 号更新了审核指南,加入 4.8 Sign in with Apple 一条,...
(vue + SpingBoot)前后端分离实现Apple登录的过程
weixin_50640611的博客
11-18 2774
在我做项目的准备工作期间,我发现网上的web端接入Apple登录的文档特别少,几乎没有...... 所以我打算通过官方文档和一些“简单”的方法实现后发表这篇文章,以便于后续接触到这种场景的人可以通过这篇文章解决你的问题!! 最后说一句:由于项目有点紧急,所以代码的一些不规范和注释少还请谅解,当然我会尽可能说明代码用处啥的~。
Flutter实现apple账号登录
05-31
Flutter可以通过使用第三方库来实现苹果账号登录功能。目前,比较常用的库有flutter_apple_sign_in和flutter_sign_in_with_apple。 其中,flutter_apple_sign_in库是Flutter官方提供的,它封装了Apple Sign In的API,提供了简单易用的登录接口。使用该库实现苹果账号登录需要以下几个步骤: 1. 在Info.plist文件中添加必要的配置项,如client_id、redirect_uri、scope等。 2. 在Flutter中引入flutter_apple_sign_in库,并初始化SignInWithApple对象。 3. 调用SignInWithApple对象的authenticate方法来启动苹果账号登录流程,该方法会返回一个SignInWithAppleAuthorizationResult对象,包含了用户的身份信息。 4. 对用户的身份信息进行验证和处理,例如将身份信息发送给服务器进行验证,并根据验证结果进行跳转或者其他操作。 flutter_sign_in_with_apple是另一个比较常用的库,它也提供了简单易用的苹果账号登录接口。使用该库实现苹果账号登录的步骤与flutter_apple_sign_in类似,需要在Info.plist文件中添加必要的配置项,并调用SignInWithApple.getAppleIDCredential方法来获取用户的身份信息。 无论使用哪个库,实现苹果账号登录都需要在苹果开发者平台上进行注册和配置,这需要一定的开发者账户和技术支持。
评论 13
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值