在“使用苹果签名”实施期间尝试通过授权码获取刷新令牌时总是发生“invalid_client”错误

Posted

技术标签:

【中文标题】在“使用苹果签名”实施期间尝试通过授权码获取刷新令牌时总是发生“invalid_client”错误【英文标题】:Always occurs "invalid_client" error trying to get refresh token by authorisation code during "sign with apple" implementation 【发布时间】:2020-12-04 04:51:34 【问题描述】:

我有一个使用 Apple 实现登录的 ios 应用。

在开发者门户上为此应用生成了一个私钥。

首先,我们的应用服务器从 iOS 应用接收身份令牌和授权代码。我们使用firebase/jwt-php 库在此处使用密钥验证身份令牌。完成后,我们已经像这样解码了身份​​令牌:

标题:


    "kid": "eXaunmL",
    "alg": "RS256"

有效载荷:


    "iss": "https://appleid.apple.com",
    "aud": "com.mycompany.myapp",
    "exp": 1597336478,
    "iat": 1597335878,
    "sub": "000138.77a8b51895c943dcbe1ae4c34721a4c3.1312",
    "nonce": "1597335873132",
    "c_hash": "llDP9yFq6YOQEoi4qDzfDA",
    "email": "useremail@gmail.com",
    "email_verified": "true",
    "auth_time": 1597335878,
    "nonce_supported": true

客户端应用程序也会像这样发送到我们的应用程序服务器授权代码:

c6b4d8ec548014979b7b7e0f4d63a173e.0.mrty.2sZAWSjybSC6MU0PQAxaag

麻烦开始了…… 我尝试通过授权码和客户端密码获取刷新令牌。我不使用 firebase/jwt-php 库来创建客户端密码,因为我阅读了有关 openSSL 问题 here 的信息。 我已将 .p8 私钥转换为 .pem 格式以用于签名。

我有一个生成签名 jwt 的函数,如下所示:

/**
 * 
 * @param string $kid 10 digits key ID for my app from developer portal
 * @param string $iss my 10 digits team ID from developer portal
 * @param string $sub com.mycoopany.myapp
 * @return string signed JWT
 */
public static function generateJWT($kid, $iss, $sub) 
                $header = [
                        'alg' => 'ES256',
                        'kid' => $kid
                ];
                $body = [
                        'iss' => $iss,
                        'iat' => time(),
                        'exp' => time() + 600,
                        'aud' => 'https://appleid.apple.com',
                        'sub' => $sub
                ];
                $private_key = <<<EOD
-----BEGIN PRIVATE KEY-----
My private key converted from .p8 to .pem by command:
openssl pkcs8 -in key.p8 -nocrypt -out key.pem
-----END PRIVATE KEY-----
EOD;
                
                $privKey = openssl_pkey_get_private($private_key);
                if (!$privKey)
                     return false;
                
                $payload = self::encode(json_encode($header,JSON_UNESCAPED_SLASHES)).'.'.self::encode(json_encode($body,JSON_UNESCAPED_SLASHES));
                $signature = '';
                $success = openssl_sign($payload, $signature, $privKey, OPENSSL_ALGO_SHA256);
                if (!$success) return false;
                $raw_signature = self::fromDER($signature, 64);
                return $payload.'.'.self::encode($raw_signature);
        
        private static function encode($data) 
                $encoded = strtr(base64_encode($data), '+/', '-_');
                return rtrim($encoded, '=');
         

要转换 openSSL 符号,我使用来自 this library 的 fromDER 函数:

    public static function fromDER(string $der, int $partLength)
    
        $hex = unpack('H*', $der)[1];
        if ('30' !== mb_substr($hex, 0, 2, '8bit'))  // SEQUENCE
            throw new \RuntimeException();
        
        if ('81' === mb_substr($hex, 2, 2, '8bit'))  // LENGTH > 128
            $hex = mb_substr($hex, 6, null, '8bit');
         else 
            $hex = mb_substr($hex, 4, null, '8bit');
        
        if ('02' !== mb_substr($hex, 0, 2, '8bit'))  // INTEGER
            throw new \RuntimeException();
        
        $Rl = hexdec(mb_substr($hex, 2, 2, '8bit'));
        $R = self::retrievePositiveInteger(mb_substr($hex, 4, $Rl * 2, '8bit'));
        $R = str_pad($R, $partLength, '0', STR_PAD_LEFT);
        $hex = mb_substr($hex, 4 + $Rl * 2, null, '8bit');
        if ('02' !== mb_substr($hex, 0, 2, '8bit'))  // INTEGER
            throw new \RuntimeException();
        
        $Sl = hexdec(mb_substr($hex, 2, 2, '8bit'));
        $S = self::retrievePositiveInteger(mb_substr($hex, 4, $Sl * 2, '8bit'));
        $S = str_pad($S, $partLength, '0', STR_PAD_LEFT);
        return pack('H*', $R.$S);
    
    
    /**
     * @param string $data
     *
     * @return string
     */
    private static function retrievePositiveInteger(string $data)
    
        while ('00' === mb_substr($data, 0, 2, '8bit') && mb_substr($data, 2, 2, '8bit') > '7f') 
            $data = mb_substr($data, 2, null, '8bit');
        
        return $data;
    

最后我对https://appleid.apple.com/auth/token 端点的调用如下所示:

$signed_jwt = opensslFix::generateJWT($my_kid, 'myTeamID', $app);
$send_data = [
    'client_id' => $app,
    'client_secret' => $signed_jwt,
    'grant_type' => 'authorization_code',
    'code' => $request->code
];
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, 'https://appleid.apple.com/auth/token');
curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_POSTFIELDS, http_build_query([$send_data]));
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_HTTPHEADER, array('Content-Type: application/x-www-form-urlencoded'));
curl_setopt($ch, CURLOPT_USERAGENT, 'Mozilla/5.0 (Windows NT 6.2) AppleWebKit/536.6 (Khtml, like Gecko) Chrome/20.0.1090.0 Safari/536.6');

$serverOutput = curl_exec($ch);

而且我总是有来自 Apple 服务器的“invalid_client”回答 :( 还有什么问题?

【问题讨论】:

这是用于 Web 还是 iOS 应用程序?另外,您是否使用 jwt.io 验证了您的令牌是否有效? 另外,$app 是什么(您将client_id 设置为什么)?如果此授权代码适用于 iOS 设备,这应该是您的应用标识符 是的,它适用于 iOS 应用程序。 $app 它是来自身份令牌的“aud”。 【参考方案1】:

别想了,试试两件事:

    添加 Accept 标头:'Accept: application/x-www-form-urlencoded' 在另一个数组中传递您的帖子数据:http_build_query($send_data)

如果我想到更多的事情,我会编辑我的答案。

【讨论】:

非常感谢......显然,我只是累了:) 当然,这是错误的论点 http_build_query 很高兴我能帮上忙!!我认为这在某些时候会发生在我们所有人身上,哈哈。请不要忘记将答案标记为正确的答案:)

以上是关于在“使用苹果签名”实施期间尝试通过授权码获取刷新令牌时总是发生“invalid_client”错误的主要内容,如果未能解决你的问题,请参考以下文章

在春季实施授权代码授权时出现的问题

使用授权代码流获取具有有效刷新令牌的新令牌时出错

通过授权码授予获取 3 条腿令牌

无法在跨客户端谷歌 oauth2.0 中交换访问令牌和刷新令牌的授权码

Docker ( React / Flask / Nginx) - Spotify 授权码

尝试在 spotipy 中获取访问令牌时授权码无效