Oauth2 apple signin on php laravel – Stack Overflow

App id

  1. Open Your developer console and find Certificates IDs & Profiles
    Certificates IDs & Profiles

  2. Click on Identifiers in the side panel. Then click the plus symbol next to Identifiers to create a new App ID.
    Final App ID list

  3. Select App IDs
    Create App Id

  4. Select Type App
    App vs app Clip

  5. Use a descriptive name for your application, I’ve used Example Application here. We’ll choose an explicit style Bundle ID for now, use apple’s suggested reverse domain style for proper namespacing, the string can be anything but you should stick to convention. I’ve used com.example here.
    Register App Id

Background color

Specify the background color of the Sign In with Apple button by setting the data-color property to one of the following values:

  • black. (Default) Sets the background of the button to black.
  • white. Sets the background of the button to white.

Border

Specify the border for the Sign In with Apple button by setting the data-border property to one of the following values:

  • false. (Default) The button doesn’t have a border.
  • true. Draws a border around the button.

Configuring sign in with apple buttons

Use CSS styles and data attributes to display and configure Sign In with Apple buttons in browsers.

Corner radius

Use CSS to control the corner radius like you normally do. 

.signin-button{
border-radius: 10px;
}

Creating the client secret

Client secret is in JWT format with following header and payload:

Embed sign in with apple js in your webpage

Use the script tag and link to Apple’s hosted version of the Sign In with Apple JS framework:

Php – как проверить код из «войти через apple»? –

Я пытаюсь проверить код, полученный от службы «Войти через Apple» в моем URI перенаправления. Я использовал информацию из документации для создания почтовых данных и генерации «client_secret».

Я получаю ответ: {"error":"invalid_client"}.

Мои функции для генерации “client_secret” можно найти ниже:

function encode($data) {
    $encoded = strtr(base64_encode($data), ' /', '-_');
    return rtrim($encoded, '=');
}

function generateJWT($kid, $iss, $sub, $key) {
    $header = [
        'alg' => 'ES256',
        'kid' => $kid
    ];
    $body = [
        'iss' => $iss,
        'iat' => time(),
        'exp' => time()   3600,
        'aud' => 'https://appleid.apple.com',
        'sub' => $sub
    ];

    $privKey = openssl_pkey_get_private($key);
    if (!$privKey) return false;

    $payload = encode(json_encode($header)).'.'.encode(json_encode($body));
    $signature = '';
    $success = openssl_sign($payloads, $signature, $privKey, OPENSSL_ALGO_SHA256);
    if (!$success) return false;

    return $payload.'.'.encode($signature);
}

Мои переменные в этом примере:

$ kid – мой идентификатор для моего личного ключа. В этом примере это JYJ5GS7N9K. Отсюда я получил идентификатор https://vhod-v-lichnyj-kabinet.ru/account/resources/authkeys / список

$ iss – это идентификатор моей команды из моей учетной записи разработчика. В этом примере это WGL33ABCD6.

$ sub имеет то же значение, что и “client_id”. Мой “client_id” в этом примере – “dev.hanashi.sign-in-with-apple”. Я получил идентификатор клиента из идентификаторов приложения здесь: https://vhod-v-lichnyj-kabinet.ru/ счет / ресурсы / идентификаторы / список

$ key – мой сгенерированный закрытый ключ от учетной записи разработчика. Ключ имеет такой формат:

-----BEGIN PRIVATE KEY-----
myrandomgeneratedkeybyappledeveloperaccount
-----END PRIVATE KEY-----

Это код php, чтобы сделать запрос:

$key = <<<EOD
-----BEGIN PRIVATE KEY-----
myrandomgeneratedkeybyappledeveloperaccount
-----END PRIVATE KEY-----
EOD; // replaced with correct key

$kid = 'JYJ5GS7N9K'; // identifier for private key
$iss = 'WGL33ABCD6'; // team identifier
$sub = 'dev.hanashi.sign-in-with-apple'; // my app id

$jwt = generateJWT($kid, $iss, $sub, $key);

$data = [
    'client_id' => $sub,
    'client_secret' => $jwt,
    'code' => $_POST['code'],
    'grant_type' => 'authorization_code',
    'request_uri' => 'https://myurl.tld/redirect.php'
];
$ch = curl_init();

curl_setopt($ch, CURLOPT_URL, 'https://appleid.apple.com/auth/token');
curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_POSTFIELDS, http_build_query($data));
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_USERAGENT, 'Mozilla/5.0 (Windows NT 6.2) AppleWebKit/536.6 (KHTML, like Gecko) Chrome/20.0.1090.0 Safari/536.6');

$serverOutput = curl_exec($ch);

curl_close ($ch);
echo $serverOutput;

Теперь я получаю ответ {"error":"invalid_client"} с сервера Apple. Что я делаю неправильно? Может быть, я неправильно генерирую токен JWT?

Похожее:  Как заказать на Ламоде одежду: сделать заказ и купить вещи с выгодой

Лучший ответ

У меня была эта ошибка несколько раз. Вот причины, которые я мог найти:

  • Неправильная проверка домена и неверный redirect_uri
  • Идентификатор клиента неверен: ваш идентификатор клиента может быть неверным.
  • Кодер JWT не работает должным образом: возможно, он не поддерживает алгоритм ES256?
  • Тип запроса: для / auth / authorize необходимо использовать x-www-form-urlencoded, в противном случае вы получите invalid_client ошибки.

Когда я решил эти проблемы, я начал получать ошибку invalid_grant. Вот шаги, которые я делал:

Если вы потеряете несколько секунд, code будет признан недействительным, и вы получите invalid_grant ошибка. Если вы скопируете и вставите сразу же через секунду, вы получите ответ:

{
    "access_token": "abcdefg",
    "token_type": "Bearer",
    "expires_in": 3600,
    "refresh_token": "abcdefg",
    "id_token": "abcdefghijklmnopqrstu"
}

Следующим шагом будет декодирование id_token с открытым ключом Apple.

Сообщение {"error":"invalid_client"} может быть связано с неверной подписью, сгенерированной функцией openssl_sign. Алгоритм ES256 должен использоваться для подписи JWT, и сгенерированная подпись должна быть объединением двух целых чисел без знака, обозначенных как R и S. Оказывается, функция openssl_sign генерирует кодированную DER подпись ASN.1, которая является неправильной для Apple (см. здесь).

Таким образом, решение состоит в том, чтобы преобразовать DER-кодированную подпись ASN.1, сгенерированную openSSL, в простую конкатенацию значений R и S.

Это можно сделать с помощью следующей функции:

/**
 * @param string $der
 * @param int    $partLength
 *
 * @return string
 */
public static function fromDER(string $der, int $partLength)
{
    $hex = unpack('H*', $der)[1];
    if ('30' !== mb_substr($hex, 0, 2, '8bit')) { // SEQUENCE
        throw new RuntimeException();
    }
    if ('81' === mb_substr($hex, 2, 2, '8bit')) { // LENGTH > 128
        $hex = mb_substr($hex, 6, null, '8bit');
    } else {
        $hex = mb_substr($hex, 4, null, '8bit');
    }
    if ('02' !== mb_substr($hex, 0, 2, '8bit')) { // INTEGER
        throw new RuntimeException();
    }
    $Rl = hexdec(mb_substr($hex, 2, 2, '8bit'));
    $R = self::retrievePositiveInteger(mb_substr($hex, 4, $Rl * 2, '8bit'));
    $R = str_pad($R, $partLength, '0', STR_PAD_LEFT);
    $hex = mb_substr($hex, 4   $Rl * 2, null, '8bit');
    if ('02' !== mb_substr($hex, 0, 2, '8bit')) { // INTEGER
        throw new RuntimeException();
    }
    $Sl = hexdec(mb_substr($hex, 2, 2, '8bit'));
    $S = self::retrievePositiveInteger(mb_substr($hex, 4, $Sl * 2, '8bit'));
    $S = str_pad($S, $partLength, '0', STR_PAD_LEFT);
    return pack('H*', $R.$S);
}
/**
 * @param string $data
 *
 * @return string
 */
private static function preparePositiveInteger(string $data)
{
    if (mb_substr($data, 0, 2, '8bit') > '7f') {
        return '00'.$data;
    }
    while ('00' === mb_substr($data, 0, 2, '8bit') && mb_substr($data, 2, 2, '8bit') <= '7f') {
        $data = mb_substr($data, 2, null, '8bit');
    }
    return $data;
}
/**
 * @param string $data
 *
 * @return string
 */
private static function retrievePositiveInteger(string $data)
{
    while ('00' === mb_substr($data, 0, 2, '8bit') && mb_substr($data, 2, 2, '8bit') > '7f') {
        $data = mb_substr($data, 2, null, '8bit');
    }
    return $data;
}

Который можно найти в эта библиотека. Подробнее здесь Вход в Apple, подпишите JWT для аутентификация с использованием PHP и openSSL

Service id

  1. Go back to the developer console and create a new identifier. This time select Services IDs.
    New ID Service ID

  2. Register a service with a proper description, I’ve used Example Application Signin here. For the identifier we’ll follow the convention and use com.example.signin.
    Register a Service ID

  3. Your new Service ID is created, find it by using the dropdown you see on the left.
    Switch to service ID

  4. Click on your Service ID that you just created.
    Service ID List

  5. After you hit continue and save click in the identifier again. You’ll be greeted with a checkbox tha say Sign In with Apple. Click on Configure.
    Enter a description for Service ID

  6. A modal will popup, register your domain here.

Похожее:  Firefox перестал держать авторизации на сайтах. |

State

State is a parameter defined in OAuth protocol used to mitigate CSRF attacks. It can be any string; just make sure it is unique and non-guessable value.

State validation

We use state to mitigate Cross-Site Request Forgery. We verify the state parameter by matches the one we sent at the beginning with the one we get back from the response. 

defredirect
@code= params[:code]

if@code.present?&& session[:state]==@state
    session.delete(:state)
...
end
...
end

Full detail spec can be found here

Добавляем кнопку sign in with apple в ios-приложение

ЦИАН работает на трех платформах:  iOS, Android, Web. Для iOS есть нативное SDK, поэтому авторизация будет выглядеть следующим образом:

Чтобы добавить в iOS-приложение Sign in with Apple, добавляем кнопку ASAuthorizationAppleIDButton и вешаем на нее обработчик нажатия: 

let appleIDProvider = ASAuthorizationAppleIDProvider()
let request = appleIDProvider.createRequest()
request.requestedScopes = [.fullName, .email]

let authorizationController = ASAuthorizationController(authorizationRequests: [request])
authorizationController.delegate = self
authorizationController.presentationContextProvider = self
authorizationController.performRequests()

Настраиваем apple developer account

Работа по интеграции начинается с настройки аккаунта разработчика. Сначала нужно включить опцию Sign In with Apple для вашего App ID. Для этого заходим в список идентификаторов в Apple Developer Account, выбираем необходимый App ID и включаем для него опцию Sign In with Apple.

Первые результаты

После выхода новой версии ЦИАН с Sign in with Apple на неё в первый же пришлась треть новых регистраций на iOS 13, и сейчас для всех версий iOS она занимает второе место, уступая только VK. На сайте регистраций с помощью AppleID немного, но их число потихоньку растет.

Получение данных

На всех клиентах, чтобы сохранить данные пользователя, нужно получить от Apple access_token. Для этого сначала запрашиваем authorization_code:

Процедура регистрации и авторизации пользователя через apple

Oauth2 apple signin on php laravel - Stack Overflow


Процедура достаточно примитивная и происходит точно так, как указано на схеме от Apple.

Помимо этого, Apple предоставляет возможность обновления токена:

Схема тоже достаточно простая, есть возможность делать верификацию токена, но мы не используем эту возможность, т.к. у нас нет в этом необходимости.

Реализация авторизации через appleid

Для реализации авторизации через AppleID мы используем пакет

. Автором данного пакета допущены некоторые ошибки, но они не являются критическими (а некоторые были совместно исправлены). В первую очередь необходимо инициализировать конфиг при помощи данных полученных через портал разработчика Apple.

Реализуем sign in with apple для web и android


Внезапно, для Android и Web Apple не предоставляет SDK, поэтому в обоих случаях  нужно открыть страницу авторизации от Apple и процесс будет иным:

URL для страницы авторизации выглядит следующим образом:

The backend

This is specific to Node.js but remember id_token is a JSON web token and you can use libraries in other languages to decode it.For now we’ll use a library tailor made for apple sign in called apple-signin-auth.

Install simply with –

Now inside your controller, receive the token and decode it.

The frontend

The most straight forward approach to using apple signin on your front end is to use the library provided by apple. Add the following CDN link to your page to load the library apple has provided.

This will make a global AppleID object available to you for use. Here’s how we’ll use them.

Php sign in with apple (apple authorized to log into php backend interface) – programmer sought

Detailed configuration reference:https://developer.okta.com/blog/2022/06/04/what-the-heck-is-sign-in-with-apple

Похожее:  Create a PHP Login Form

The main reference of this article:

The development of the APP client authorization login function is not described, mainly recording how the PHP backend verifies the Apple authorization login.

For back-end verification, Apple provides two verification methods, one is based on JWT algorithm verification, the other is based on authorization code verification, this article uses JWT verification to achieve.

First, after successful APP client authentication, an object of type ASAuthorizationAppleIDCredential will be returned. Its main attributes are as follows:

Secondly, get the information, pass the user, email, fullName, identityToken and other information directly to the backend, and the backend will verify the request (identityToken is used here for JWT verification):

  • identityTokenString is actually a JWT (JSON Web Token) format file. The JWT file consists of three parts:
  1. Header
  2. Payload
  3. Signature

These three parts are separated by “.”, where Header and Payload are encoded by base64.

{
  "keys": [
    {
      "kty": "RSA",
      "kid": "AIDOPK1",
      "use": "sig",
      "alg": "RS256",
      "n": "lxrwmuYSAsTfn-lUu4goZSXBD9ackM9OJuwUVQHmbZo6GW4Fu_auUdN5zI7Y1dEDfgt7m7QXWbHuMD01HLnD4eRtY-RNwCWdjNfEaY_esUPY3OVMrNDI15Ns13xspWS3q-13kdGv9jHI28P87RvMpjz_JCpQ5IM44oSyRnYtVJO-320SB8E2Bw92pmrenbp67KRUzTEVfGU4-obP5RZ09OxvCr1io4KJvEOjDJuuoClF66AT72WymtoMdwzUmhINjR0XSqK6H0MdWsjw7ysyd_JhmqX5CAaT9Pgi0J8lU_pcl215oANqjy7Ob-VMhug9eGyxAWVfu_1u6QJKePlE-w",
      "e": "AQAB"
    }
  ]
}

kid is the key id identification, the signature algorithm uses RS256 (RSA 256 SHA 256), the kty constant identification uses the RSA signature algorithm, its public key parameters are n and e, and its value uses BASE64 encoding. decoding.

Then introduce the JWT algorithm, the following is the main logic and verification interface:

    /**
     * Sign in with 
     */
    public function appleIdLogin()
    {
        $openid = $this->params('userID', '');
        $verifyToken = $this->params('verifyToken', '');

        if(empty($openid) || empty($verifyToken)){
                         $this->responseJson(1,'Parameter error', array(), true);
        }

                 //token verification
        $verifyRes = $this->appleJwtVerify($verifyToken);
        if(isset($verifyRes['jwtStatus']) && $verifyRes['jwtStatus'] == 'failed'){
             $this->responseJson(1, $verifyRes['jwtMsg'], array(), true);
             return;
        }else{
                         //Register
            $res = $this->register('appleID', $openid);
        }
    }

    /**
           * AppleID login JWT check identityToken
           * The parsed identityToken consists of three parts: Header.Payload.Signature
     *
     * @param string $identityToken
     * @return object
     * @throws Exception
     */
    private function appleJwtVerify($identityToken = ''){        
                 //Get Apple public key access address: https://appleid.apple.com/auth/keys
                 //Get the Apple public key:
        //{
        //    "kty": "RSA",
        //    "kid": "AIDOPK1",
        //    "use": "sig",
        //    "alg": "RS256",
        //    "n": "lxrwmuYSAsTfn-lUu4goZSXBD9ackM9OJuwUVQHmbZo6GW4Fu_auUdN5zI7Y1dEDfgt7m7QXWbHuMD01HLnD4eRtY-RNwCWdjNfEaY_esUPY3OVMrNDI15Ns13xspWS3q-13kdGv9jHI28P87RvMpjz_JCpQ5IM44oSyRnYtVJO-320SB8E2Bw92pmrenbp67KRUzTEVfGU4-obP5RZ09OxvCr1io4KJvEOjDJuuoClF66AT72WymtoMdwzUmhINjR0XSqK6H0MdWsjw7ysyd_JhmqX5CAaT9Pgi0J8lU_pcl215oANqjy7Ob-VMhug9eGyxAWVfu_1u6QJKePlE-w",
        //    "e": "AQAB"
        //}
        
                 //Get the PEM public key string used for decryption via Apple public key online (https://8gwifi.org/jwkconvertfunctions.jsp)
        $publickKey = "-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAlxrwmuYSAsTfn lUu4go
ZSXBD9ackM9OJuwUVQHmbZo6GW4Fu/auUdN5zI7Y1dEDfgt7m7QXWbHuMD01HLnD
4eRtY RNwCWdjNfEaY/esUPY3OVMrNDI15Ns13xspWS3q 13kdGv9jHI28P87RvM
pjz/JCpQ5IM44oSyRnYtVJO 320SB8E2Bw92pmrenbp67KRUzTEVfGU4 obP5RZ0
9OxvCr1io4KJvEOjDJuuoClF66AT72WymtoMdwzUmhINjR0XSqK6H0MdWsjw7ysy
d/JhmqX5CAaT9Pgi0J8lU/pcl215oANqjy7Ob VMhug9eGyxAWVfu/1u6QJKePlE
 wIDAQAB
 -----END PUBLIC KEY-----";//pem public key [You can also convert RSA public key modules (N) and exponent (E) into PEM files]
        
        $decoded = JWT::decode($identityToken, $publickKey, array('RS256'));
        return $decoded;
    }

    /**
           * Third-party login account registration
     *
           * @param string $regType Registration type
           * @param string $openid unique account identification
     * @throws BlimExceptionStop
     */
    public function register($regType = '', $openid = ''){
        if(empty($regType) || empty($openid)){
                         $this->responseJson(1,'Registration failed', array(), true);
        }else{
                         //Registration logic
        }
    }

    /**
           * json output
     * @param $code
     * @param string $message
     * @param array $exts
     * @param bool $hasData
     * @throws Stop
     */
    public function responseJson($code, $message = '', $exts = array(), $hasData = false)
    {
        $res = array('code' => $code, 'tips' => $message, 'msg' => $message);
        $res['data'] = array();
        if (!empty($exts)) {
            $res['data'] = $exts;
        }
        app('response')->withJson($res, 200);
        app()->stop();
    }

Initial setup

In short, you need to have some setup and configs in hand before you start working on the code. In summary, you’ll need to do these things –

  1. Create an App ID.
  2. Create a Serve ID.
  3. Register the domains for your website.

The following are some screenshots to explain the process of App ID and Service ID creation. If you’re already familiar with this process click here to jump to the next section.

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (1 оценок, среднее: 5,00 из 5)
Загрузка...

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *