使用 Apple 登录 = invalid_client

Posted 2023-03-10

【中文标题】使用 Apple 登录 = invalid_client

【英文标题】：Sign in with Apple = invalid_client

【发布时间】：2020-02-13 19:42:32

【问题描述】：

我面临一个非常糟糕的问题，因为我阅读了很多指南和教程，但没有任何效果。

结果总是一样的："error":"invalid_client"

由于 invalid_client，我得到了代码、identityToken 和我需要的一切——除了对 https://appleid.apple.com/auth/token 的调用。

这是我获取代码的网址。

https://appleid.apple.com/auth/authorize?response_type=code&client_id=org.example.service&redirect_uri=https%3A%2F%2Fexample.org

那么我就有了默认的工作流程。 在接受/登录后，我将被重定向到我的页面。

https://example.org/?code=a277243e2ec324fb09ba1c3333a8e6576.0.abcde.u4xiTDP2qHXoNEaxrcrIGx

（当我使用 javascript API 时，我会得到其他信息，如状态、代码和 id_token。我也已经用那里的“代码”尝试过。）

回到主函数。

这是我对 Apple 的要求。

'client_id' => 'org.example.service',  
'client_secret' => JWT-Data encoded (OPENSSL_ALGO_SHA256) see below  
'grant_type' => 'authorization_code',  
'code' => 'a277243e2ec324fb09ba1c3333a8e6576.0.abcde.u4xiTDP2qHXoNEaxrcrIGx'  

JWT 标头：

  "alg": "ES256",
  "kid": "1ABC2345DE"
  

JWT 有效负载：

  "iss": "1A234BCD56",
  "iat": 1571269964,
  "exp": 1571273564,
  "aud": "https://appleid.apple.com",
  "sub": "org.example.service"

回应：

  
  "error": "invalid_client"  
  

世界无用的错误信息。

我不知道为什么客户端应该是无效的。

我在https://developer.apple.com/account/resources/authkeys/list 中有一个密钥，下载的文件名为 AuthKey_1ABC2345DE.p8。 （表示 1ABC2345DE 是我的密钥 ID）

然后我有一个标识符为“org.example”的本机 ios 应用程序和一个标识符为“org.example.service”的服务。

它不能同时使用 id 和混合不同的东西。

什么都没有。无效客户端。

谁能帮帮我？我在这里坐了几个小时，只得到了 invalid_client

我的测试页面：

<html>
<head>
</head>
<body>
<script type="text/javascript" src="https://appleid.cdn-apple.com/appleauth/static/jsapi/appleid/1/en_US/appleid.auth.js"></script>
<div id="appleid-signin" data-color="black" data-border="true" data-type="sign in" data- data-></div>
<script type="text/javascript">
    AppleID.auth.init(
        clientId : 'org.example.service',
        scope : 'email',
        redirectURI: 'https://example.org',
        state : 'EN'
    );
</script>
</body>
</html>

还有 php：

<?php
// index.php

// function by https://***.com/q/56459075/1362858
function encode($data) 
    $encoded = strtr(base64_encode($data), '+/', '-_');
    return rtrim($encoded, '=');


// function by https://***.com/q/56459075/1362858
function generateJWT($kid, $iss, $sub, $key) 
    $header = [
        'alg' => 'ES256',
        'kid' => $kid
    ];
    $body = [
        'iss' => $iss,
        'iat' => time(),
        'exp' => time() + 3600,
        'aud' => 'https://appleid.apple.com',
        'sub' => $sub
    ];

    $privKey = openssl_pkey_get_private($key);
    if (!$privKey) return false;

    $payload = encode(json_encode($header)).'.'.encode(json_encode($body));
    $signature = '';
    $success = openssl_sign($payload, $signature, $privKey, OPENSSL_ALGO_SHA256);
    if (!$success) return false;

    return $payload.'.'.encode($signature);


$client_id = 'org.example.service';
$data = [
    'client_id' => $client_id,
    'client_secret' => generateJWT('1ABC2345DE', '1A234BCD56', $client_id, file_get_contents('AuthKey_1ABC2345DE.p8')),
    'code' => 'a277243e2ec324fb09ba1c3333a8e6576.0.abcde.u4xiTDP2qHXoNEaxrcrIGx',
    'grant_type' => 'authorization_code'
];
$ch = curl_init();

curl_setopt($ch, CURLOPT_URL, 'https://appleid.apple.com/auth/token');
curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_POSTFIELDS, $data);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);

$serverOutput = curl_exec($ch);

curl_close ($ch);

/**
 * "error":"invalid_client"
 */
var_dump($serverOutput);

【问题讨论】：

我不认为client_id 与您的 iOS 应用的捆绑 ID 相同，因为“使用 Apple 登录”也适用于非应用网站。

【参考方案1】：

问题在于这种特殊的加密。 在这个博客中，他们使用 PHP 处理除了 client_secret 生成之外的所有内容。 https://developer.okta.com/blog/2019/06/04/what-the-heck-is-sign-in-with-apple

作者在文中解释了这句话：

Some JWT libraries don’t support elliptic curve methods, so make sure yours does before you start trying this out.

现在它与顶部的代码完全一致 - 只替换了 client_secret 生成。

【讨论】：

为感兴趣的人添加一些细节："error":"invalid_client" 消息可能与 openssl_sign 函数生成的无效签名有关。必须使用 ES256 算法对 JWT 进行签名，并且生成的签名应该是两个无符号整数的串联，分别表示为 R 和 S。事实证明，openssl_sign 函数生成的 DER 编码的 ASN.1 签名不正确为苹果。详情见***.com/questions/59737488/…

您可以在这里为其他人添加解决方案吗？

【参考方案2】：

好吧，我遇到了这个错误“invalid_client”并且刚刚发现，所有凭据都在 https://developer.apple.com/account/resources/identifiers/serviceId 中更改。我认为，因为我们的法人实体（作为账户持有人）发生了变化。因此，只需检查您的网络应用 ID 和 .p8 密钥，是否存在。

附言有趣的是，大约一年前，我在这个问题上来过这里，它对我有帮助，如上所述（JWT ES256 算法）。现在，我希望我能帮助别人解决另一个问题:-)