Apple 登录“invalid_client”,使用 PHP 和 openSSL 签署 JWT 进行身份验证
Posted
技术标签:
【中文标题】Apple 登录“invalid_client”,使用 PHP 和 openSSL 签署 JWT 进行身份验证【英文标题】:Apple Sign In "invalid_client", signing JWT for authentication using PHP and openSSL 【发布时间】:2020-05-01 09:33:17 【问题描述】:我正在尝试使用此library 将 Apple 登录实现到 android 应用程序中。文档中描述了主要流程:该库在Android端返回一个授权码。此授权代码必须发送到我的后端,然后再将其发送到 Apple 服务器以取回访问令牌。
如here 和here 所述,为了获得访问令牌,我们需要向Apple API 发送参数列表、授权码和签名的JWT。特别是,JWT 需要使用 ES256 算法使用私有 .p8 密钥进行签名,该密钥必须从 Apple 开发人员门户生成和下载。 Apple doc
这是我的 php 脚本:
<?php
$authorization_code = $_POST('auth_code');
$privateKey = <<<EOD
-----BEGIN PRIVATE KEY-----
my_private_key_downloaded_from_apple_developer_portal (.p8 format)
-----END PRIVATE KEY-----
EOD;
$kid = 'key_id_of_the_private_key'; //Generated in Apple developer Portal
$iss = 'team_id_of_my_developer_profile';
$client_id = 'identifier_setted_in_developer_portal'; //Generated in Apple developer Portal
$signed_jwt = $this->generateJWT($kid, $iss, $client_id, $privateKey);
$data = [
'client_id' => $client_id,
'client_secret' => $signed_jwt,
'code' => $authorization_code,
'grant_type' => 'authorization_code'
];
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, 'https://appleid.apple.com/auth/token');
curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_POSTFIELDS, $data);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
$serverOutput = curl_exec($ch);
curl_close ($ch);
var_dump($serverOutput);
function generateJWT($kid, $iss, $sub, $key)
$header = [
'alg' => 'ES256',
'kid' => $kid
];
$body = [
'iss' => $iss,
'iat' => time(),
'exp' => time() + 3600,
'aud' => 'https://appleid.apple.com',
'sub' => $sub
];
$privKey = openssl_pkey_get_private($key);
if (!$privKey) return false;
$payload = $this->encode(json_encode($header)).'.'.$this->encode(json_encode($body));
$signature = '';
$success = openssl_sign($payload, $signature, $privKey, OPENSSL_ALGO_SHA256);
if (!$success) return false;
return $payload.'.'.$this->encode($signature);
function encode($data)
$encoded = strtr(base64_encode($data), '+/', '-_');
return rtrim($encoded, '=');
?>
问题是苹果的反应总是:
"error":"invalid_client"
阅读here 似乎问题可能与生成对 Apple 不正确的签名的 openSSL 有关(“OpenSSL 的 ES256 签名结果是 DER 编码的 ASN.1 结构(它的大小超过 64 )。(不是原始的 R || S 值)")。
有没有办法使用 openSSL 获得正确的签名?
p8 格式是否是 openssl_sign 和 openssl_pkey_get_private 函数的正确输入? (我注意到如果在jwt.io 中使用提供的 .p8 密钥来计算签名的 jwt,则它不起作用。)
在 openSSL 文档中,我读到应该提供 pem 密钥,如何将 .p8 转换为 .pem 密钥?
我还尝试了一些基本使用上述相同步骤的 PHP 库,例如 firebase/php-jwt 和 lcobucci/jwt,但 Apple 的响应仍然是“无效客户端”。
提前感谢您的帮助,
编辑
我试图从等式中完全删除 openSSL。使用从 .p8 生成的 .pem 密钥,我使用 jwt.io 生成了一个签名的 JWT。使用此签名的 JWT,Apple API 会正确回复。在这一点上,我几乎可以肯定这是一个 openSSL 签名问题。关键问题是如何使用 PHP 和 openSSL 获得正确的 ES256 签名。
【问题讨论】:
【参考方案1】:如here所示,问题其实出在openSSL生成的签名上。
使用 ES256,数字签名是两个无符号整数的串联,表示为 R 和 S,它们是椭圆曲线 (EC) 算法的结果。 R的长度|| S 是 64。
openssl_sign 函数生成一个签名,该签名是一个 DER 编码的 ASN.1 结构(大小 > 64)。
解决方案是将 DER 编码的签名转换为 R 和 S 值的原始串联。在this library 中存在一个函数“fromDER”,它执行这样的转换:
/**
* @param string $der
* @param int $partLength
*
* @return string
*/
public static function fromDER(string $der, int $partLength)
$hex = unpack('H*', $der)[1];
if ('30' !== mb_substr($hex, 0, 2, '8bit')) // SEQUENCE
throw new \RuntimeException();
if ('81' === mb_substr($hex, 2, 2, '8bit')) // LENGTH > 128
$hex = mb_substr($hex, 6, null, '8bit');
else
$hex = mb_substr($hex, 4, null, '8bit');
if ('02' !== mb_substr($hex, 0, 2, '8bit')) // INTEGER
throw new \RuntimeException();
$Rl = hexdec(mb_substr($hex, 2, 2, '8bit'));
$R = self::retrievePositiveInteger(mb_substr($hex, 4, $Rl * 2, '8bit'));
$R = str_pad($R, $partLength, '0', STR_PAD_LEFT);
$hex = mb_substr($hex, 4 + $Rl * 2, null, '8bit');
if ('02' !== mb_substr($hex, 0, 2, '8bit')) // INTEGER
throw new \RuntimeException();
$Sl = hexdec(mb_substr($hex, 2, 2, '8bit'));
$S = self::retrievePositiveInteger(mb_substr($hex, 4, $Sl * 2, '8bit'));
$S = str_pad($S, $partLength, '0', STR_PAD_LEFT);
return pack('H*', $R.$S);
/**
* @param string $data
*
* @return string
*/
private static function preparePositiveInteger(string $data)
if (mb_substr($data, 0, 2, '8bit') > '7f')
return '00'.$data;
while ('00' === mb_substr($data, 0, 2, '8bit') && mb_substr($data, 2, 2, '8bit') <= '7f')
$data = mb_substr($data, 2, null, '8bit');
return $data;
/**
* @param string $data
*
* @return string
*/
private static function retrievePositiveInteger(string $data)
while ('00' === mb_substr($data, 0, 2, '8bit') && mb_substr($data, 2, 2, '8bit') > '7f')
$data = mb_substr($data, 2, null, '8bit');
return $data;
另外一点是应该为 open_ssl_sign 函数提供一个 .pem 密钥。从 Apple 开发人员下载的 .p8 密钥开始,我使用 openSSL 创建了 .pem 密钥:
openssl pkcs8 -in AuthKey_KEY_ID.p8 -nocrypt -out AuthKey_KEY_ID.pem
下面是我的新 generateJWT 函数代码,它使用 .pem 密钥和 fromDER 函数来转换 openSSL 生成的签名:
function generateJWT($kid, $iss, $sub)
$header = [
'alg' => 'ES256',
'kid' => $kid
];
$body = [
'iss' => $iss,
'iat' => time(),
'exp' => time() + 3600,
'aud' => 'https://appleid.apple.com',
'sub' => $sub
];
$privKey = openssl_pkey_get_private(file_get_contents('AuthKey_.pem'));
if (!$privKey)
return false;
$payload = $this->encode(json_encode($header)).'.'.$this->encode(json_encode($body));
$signature = '';
$success = openssl_sign($payload, $signature, $privKey, OPENSSL_ALGO_SHA256);
if (!$success) return false;
$raw_signature = $this->fromDER($signature, 64);
return $payload.'.'.$this->encode($raw_signature);
希望对你有帮助
【讨论】:
就是这样!我一直在寻找导致“无效客户端”的问题。正确的解决方案。谢谢! 很棒的解释,安德里亚!在我遇到您的答案之前,我一直在与 MapKit Snapshots 不一致的身份验证问题作斗争。非常感谢! @Andrea,我已经在我的 php 代码中添加了代码,但是当我尝试向苹果发出请求时,它总是说客户端无效。你能告诉我有什么问题吗?我使用的是 php 5.5 版本。 @Hardik 很难说没有看到你的设置......我可以建议你仔细检查参数和键,你是否将 .p8 键转换为 .pem 键? @Andrea,我从苹果那里得到了私钥,它以 ---BEGIN RSA PRIVATE KEY 开头。那是正确的吗? .p8 格式是什么?以上是关于Apple 登录“invalid_client”,使用 PHP 和 openSSL 签署 JWT 进行身份验证的主要内容,如果未能解决你的问题,请参考以下文章
在“使用苹果签名”实施期间尝试通过授权码获取刷新令牌时总是发生“invalid_client”错误
错误:无效的客户端 - 使用 Spring Boot 使用 Apple 登录