web-dev-qa-db-ja.com

Apple = invalid_clientでサインインします

非常に多くのガイドとチュートリアルを読み、何も機能しないため、非常に悪い問題に直面しています。

結果は常に同じです:{"error":"invalid_client"}

コード、identityToken、および必要なすべてを取得します- https://appleid.Apple.com/auth/token への呼び出しを除き、invalid_clientが原因です。

これがコードを取得するための私のURLです。

https://appleid.Apple.com/auth/authorize?response_type=code&client_id=org.example.service&redirect_uri=https%3A%2F%2Fexample.org

だから私はデフォルトのワークフローを持っています。そして、受け入れ/ログイン後、自分のページにリダイレクトされます。

https://example.org/?code=a277243e2ec324fb09ba1c3333a8e6576.0.abcde.u4xiTDP2qHXoNEaxrcrIGx

(JavaScript APIを使用している場合は、state、code、id_tokenなどの他の情報も取得します。すでに「コード」で試してみました。)

メイン機能に戻ります。

これはAppleに対する私の要求です。

'client_id' => 'org.example.service',  
'client_secret' => JWT-Data encoded (OPENSSL_ALGO_SHA256) see below  
'grant_type' => 'authorization_code',  
'code' => 'a277243e2ec324fb09ba1c3333a8e6576.0.abcde.u4xiTDP2qHXoNEaxrcrIGx'  

JWTヘッダー:

{
  "alg": "ES256",
  "kid": "1ABC2345DE"
}  

JWTペイロード:

{
  "iss": "1A234BCD56",
  "iat": 1571269964,
  "exp": 1571273564,
  "aud": "https://appleid.Apple.com",
  "sub": "org.example.service"
}

応答:

{  
  "error": "invalid_client"  
}  

世界の役に立たないエラーメッセージ。

クライアントを無効にする理由がわかりません。

https://developer.Apple.com/account/resources/authkeys/list にダウンロードしたファイル名AuthKey_1ABC2345DE.p8のキーがあります。 (1ABC2345DEが私のキーIDであることを意味します)

次に、識別子「org.example」のネイティブiOSアプリと識別子「org.example.service」のサービスがあります。

IDと混合したものの両方では機能しません。

何もない。 invalid_client。

誰かが私を助けてくれますか?私は何時間もここに座って、invalid_clientだけを取得しています

私のテストページ:

<html>
<head>
</head>
<body>
<script type="text/javascript" src="https://appleid.cdn-Apple.com/appleauth/static/jsapi/appleid/1/en_US/appleid.auth.js"></script>
<div id="appleid-signin" data-color="black" data-border="true" data-type="sign in" data-width="330px" data-height="100px"></div>
<script type="text/javascript">
    AppleID.auth.init({
        clientId : 'org.example.service',
        scope : 'email',
        redirectURI: 'https://example.org',
        state : 'EN'
    });
</script>
</body>
</html>

そしてPHP:

<?php
// index.php

// function by https://stackoverflow.com/q/56459075/1362858
function encode($data) {
    $encoded = strtr(base64_encode($data), '+/', '-_');
    return rtrim($encoded, '=');
}

// function by https://stackoverflow.com/q/56459075/1362858
function generateJWT($kid, $iss, $sub, $key) {
    $header = [
        'alg' => 'ES256',
        'kid' => $kid
    ];
    $body = [
        'iss' => $iss,
        'iat' => time(),
        'exp' => time() + 3600,
        'aud' => 'https://appleid.Apple.com',
        'sub' => $sub
    ];

    $privKey = openssl_pkey_get_private($key);
    if (!$privKey) return false;

    $payload = encode(json_encode($header)).'.'.encode(json_encode($body));
    $signature = '';
    $success = openssl_sign($payload, $signature, $privKey, OPENSSL_ALGO_SHA256);
    if (!$success) return false;

    return $payload.'.'.encode($signature);
}

$client_id = 'org.example.service';
$data = [
    'client_id' => $client_id,
    'client_secret' => generateJWT('1ABC2345DE', '1A234BCD56', $client_id, file_get_contents('AuthKey_1ABC2345DE.p8')),
    'code' => 'a277243e2ec324fb09ba1c3333a8e6576.0.abcde.u4xiTDP2qHXoNEaxrcrIGx',
    'grant_type' => 'authorization_code'
];
$ch = curl_init();

curl_setopt($ch, CURLOPT_URL, 'https://appleid.Apple.com/auth/token');
curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_POSTFIELDS, $data);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);

$serverOutput = curl_exec($ch);

curl_close ($ch);

/**
 * {"error":"invalid_client"}
 */
var_dump($serverOutput);

4
Patrick

問題はこの特別な暗号化でした。このブログでは、client_secret生成以外のすべてにPHPを使用しています。 https://developer.okta.com/blog/2019/06/04/what-the-heck- is-sign-in-with-Apple

そして、テキストで著者はこの文を説明します:

Some JWT libraries don’t support elliptic curve methods, so make sure yours does before you start trying this out.

これで、上にあるコードで正確に機能します-client_secret生成のみが置き換えられました。

1
Patrick