「アップルでサインイン」からのコードを確認する方法は？

Question

Redirect Uriの「Sign In with Apple」サービスから取得したコードを確認しようとしています。 documentation の情報を使用して投稿データを作成し、「client_secret」を生成しました。

私が得ている応答は：{"error":"invalid_client"}。

「client_secret」を生成するための関数は以下にあります：

function encode($data) { $encoded = strtr(base64_encode($data), '+/', '-_'); return rtrim($encoded, '='); } function generateJWT($kid, $iss, $sub, $key) { $header = [ 'alg' => 'ES256', 'kid' => $kid ]; $body = [ 'iss' => $iss, 'iat' => time(), 'exp' => time() + 3600, 'aud' => 'https://appleid.Apple.com', 'sub' => $sub ]; $privKey = openssl_pkey_get_private($key); if (!$privKey) return false; $payload = encode(json_encode($header)).'.'.encode(json_encode($body)); $signature = ''; $success = openssl_sign($payloads, $signature, $privKey, OPENSSL_ALGO_SHA256); if (!$success) return false; return $payload.'.'.encode($signature); }

この例の私の変数：

$ kidは私の秘密鍵の識別子です。この例では、JYJ5GS7N9Kです。ここから識別子を取得しました https://developer.Apple.com/account/resources/authkeys/list

$ issは、私の開発者アカウントのチームIDです。この例では、WGL33ABCD6です。

$ subは「client_id」と同じ値です。この例での「client_id」は「dev.hanashi.sign-in-with-Apple」です。ここでアプリ識別子からクライアントIDを取得しました： https://developer.Apple.com/account/resources/identifiers/list

$ keyは、開発者アカウントによって生成された秘密鍵です。キーの形式は次のとおりです。

-----BEGIN PRIVATE KEY----- myrandomgeneratedkeybyappledeveloperaccount -----END PRIVATE KEY-----

これはリクエストを行うためのphpコードです：

$key = <<<EOD -----BEGIN PRIVATE KEY----- myrandomgeneratedkeybyappledeveloperaccount -----END PRIVATE KEY----- EOD; // replaced with correct key $kid = 'JYJ5GS7N9K'; // identifier for private key $iss = 'WGL33ABCD6'; // team identifier $sub = 'dev.hanashi.sign-in-with-Apple'; // my app id $jwt = generateJWT($kid, $iss, $sub, $key); $data = [ 'client_id' => $sub, 'client_secret' => $jwt, 'code' => $_POST['code'], 'grant_type' => 'authorization_code', 'request_uri' => 'https://myurl.tld/redirect.php' ]; $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, 'https://appleid.Apple.com/auth/token'); curl_setopt($ch, CURLOPT_POST, 1); curl_setopt($ch, CURLOPT_POSTFIELDS, http_build_query($data)); curl_setopt($ch, CURLOPT_RETURNTRANSFER, true); curl_setopt($ch, CURLOPT_USERAGENT, 'Mozilla/5.0 (Windows NT 6.2) AppleWebKit/536.6 (KHTML, like Gecko) Chrome/20.0.1090.0 Safari/536.6'); $serverOutput = curl_exec($ch); curl_close ($ch); echo $serverOutput;

応答が得られました{"error":"invalid_client"} from Apple server。何が問題なのですか？JWTトークンを間違って生成している可能性がありますか？

Andrea Gorrieri · Answer

{"error":"invalid_client"}メッセージは、openssl_sign関数によって生成された無効な署名に関連している可能性があります。 JWTに署名するにはES256アルゴリズムを使用する必要があり、生成された署名はRとSで示される2つの符号なし整数の連結である必要があります。openssl_sign関数はDERエンコードされたASN.1署名を生成するが、これは正しくありませんApple（ here を参照）の場合。

したがって、解決策は、openSSLによって生成されたDERエンコードされたASN.1署名をR値とS値の単純な連結に変換することです。

これは、次の関数を使用して実行できます。

/** * @param string $der * @param int $partLength * * @return string */ public static function fromDER(string $der, int $partLength) { $hex = unpack('H*', $der)[1]; if ('30' !== mb_substr($hex, 0, 2, '8bit')) { // SEQUENCE throw new \RuntimeException(); } if ('81' === mb_substr($hex, 2, 2, '8bit')) { // LENGTH > 128 $hex = mb_substr($hex, 6, null, '8bit'); } else { $hex = mb_substr($hex, 4, null, '8bit'); } if ('02' !== mb_substr($hex, 0, 2, '8bit')) { // INTEGER throw new \RuntimeException(); } $Rl = hexdec(mb_substr($hex, 2, 2, '8bit')); $R = self::retrievePositiveInteger(mb_substr($hex, 4, $Rl * 2, '8bit')); $R = str_pad($R, $partLength, '0', STR_PAD_LEFT); $hex = mb_substr($hex, 4 + $Rl * 2, null, '8bit'); if ('02' !== mb_substr($hex, 0, 2, '8bit')) { // INTEGER throw new \RuntimeException(); } $Sl = hexdec(mb_substr($hex, 2, 2, '8bit')); $S = self::retrievePositiveInteger(mb_substr($hex, 4, $Sl * 2, '8bit')); $S = str_pad($S, $partLength, '0', STR_PAD_LEFT); return pack('H*', $R.$S); } /** * @param string $data * * @return string */ private static function preparePositiveInteger(string $data) { if (mb_substr($data, 0, 2, '8bit') > '7f') { return '00'.$data; } while ('00' === mb_substr($data, 0, 2, '8bit') && mb_substr($data, 2, 2, '8bit') <= '7f') { $data = mb_substr($data, 2, null, '8bit'); } return $data; } /** * @param string $data * * @return string */ private static function retrievePositiveInteger(string $data) { while ('00' === mb_substr($data, 0, 2, '8bit') && mb_substr($data, 2, 2, '8bit') > '7f') { $data = mb_substr($data, 2, null, '8bit'); } return $data; }

this ライブラリにあります。詳細はこちら Appleサインイン、PHPおよびopenSSL）を使用して認証用のJWTに署名

aladagemre · Answer

このエラーが何度かありました。私が見つけることができる原因はここにあります：

不適切なドメイン検証と無効なredirect_uri
クライアントIDが正しくありません：クライアントIDが間違っている可能性があります。
JWTエンコーダーが正しく機能していません。ES256アルゴリズムをサポートしていない可能性がありますか？
リクエストタイプ：/ auth/authorizeの場合、x-www-form-urlencodeを使用する必要があります。そうしないと、invalid_clientエラーが発生します。

これらの問題を解決すると、invalid_grantエラーが発生し始めました。これが私がやっていたステップです：

JWTを介してclient_secretを作成しました
Webブラウザーでhttps://appleid.Apple.com/auth/authorize?response_type=code&state=abcdefg&client_id=com.company.Apple-sign-in-abcd&scope=openid&redirect_uri=https://app.com/redirect_uriに手動で移動しましたが、
認可された
バックエンドURLにリダイレクトされました（まだデプロイされていないため404になりました）。
ときに私はURLバーにコード引数をコピーしました
コピーしたcodeを使用して、x-www-form-urlencoded引数でhttps://appleid.Apple.com/auth/tokenエンドポイントをPOSTeedします：
- コード
- クライアントID
- client_secret
- redirect_uri
- grant_type = "authorization_code"

数秒待つと、codeが無効になり、invalid_grantエラーが発生します。すぐにコピーして貼り付けると、応答が返されます。

{ "access_token": "abcdefg", "token_type": "Bearer", "expires_in": 3600, "refresh_token": "abcdefg", "id_token": "abcdefghijklmnopqrstu" }

次のステップは、id_tokenをAppleの公開鍵でデコードすることです。

Maciej Płocki · Answer

私はjwt-frameworkに基づいてphpでApple client secretを生成するための小さなパッケージを作成しました： https://github.com/kissdigital-com/Apple-sign-in- client-secret-generator