为 App Store Connect API 生成令牌

Question

我需要为Store Connect API生成 JWT 令牌。我正在尝试使用 jwt ruby​​ gem ruby​​-jwt。这是我的令牌生成代码，

payload = {
      'iss': my_issuer_id_from_db,
      'exp': generated_unix_timestamp, #Time.now + 20min
      'aud': 'hard_coded_string_from_doc'
  }
  header = {
      'alg': 'ES256',
      'kid': my_key_id_from_db,
      'typ': 'JWT'
  }

private_key = OpenSSL::PKey.read(File.read('/tmp/private_key.pem'))
# private_key - <OpenSSL::PKey::EC:0x000000000XXXXXXX>

@token = JWT.encode(payload, private_key, 'ES256', header)
# encoded_header.encoded_payload.emcoded_signature

我将此令牌放入请求的标头中：

headers = { Authorization: 'Bearer' + @token }

我收到的回复是：

        "errors": [{
                "status": "401",
                "code": "NOT_AUTHORIZED",
                "title": "Authentication credentials are missing or invalid.",
                "detail": "Provide a properly configured and signed bearer token, and make sure that it has not expired. Learn more about Generating Tokens for API Requests https://developer.apple.com/go/?id=api-generating-tokens"
        }]
}

我认为问题在于令牌（直接带有签名）。当我尝试使用在线工具解码令牌时，我的有效负载和标头已正确解码。状态：签名无效

我做错了什么？有什么想法如何正确地做到这一点吗？

Answer 1

我面临类似的身份验证错误，即NOT_AUTHORIZED。我通过以下步骤解决了这个问题：

1. 创建Ruby脚本文件以生成有效BearerToken：

参考： https://medium.com/xcblog/generating-jwt-tokens-for-app-store-connect-api-2b2693812a35

require "base64"
require "jwt"
ISSUER_ID = "YOUR_ISSUER_ID"
KEY_ID = "YOUR PRIVATE KEY ID"    // this is ID part from downloaded .p8 file name (see below for ref.)
private_key = OpenSSL::PKey.read(File.read(path_to_your_private_key/AuthKey_#{KEY_ID}.p8))   // you can enclose your file path in quotes if needed, and can pass here totally static file path (here we are reusing Key_ID variable)

token = JWT.encode(
   {
    iss: ISSUER_ID,
    exp: Time.now.to_i + 20 * 60,
    aud: "appstoreconnect-v1"
   },
   private_key,
   "ES256",
   header_fields={
       kid: KEY_ID }
)
puts token

然后在 Mac 上使用以下命令运行此脚本。

$ ruby jwt.rb

这将Bearer在您的终端屏幕上显示一个有效的令牌，您可以在下一步中使用该令牌。

笔记：

• 为了运行上面的脚本，您需要ruby安装。
• 您将从您的开发者帐户复制发行者 ID。如果没有，请生成一个。
• 确保您针对经过身份验证的用户使用“.p8”证书，这意味着您下载“.p8”证书所针对的帐户应该有权执行 API 级别操作。对于我的情况，我使用管理员类型帐户。最初，我使用的是开发人员类型的用户帐户，当我进行最终的 Curl 调用以获取令牌时，该帐户不断给出Not_Authorized错误。

2. 使用代币：

现在，我们已经了解了如何生成令牌来访问 App Store Connect API，我们可以通过传递授权标头来使用它。例如，获取我们可以使用的所有用户的列表

$ curl  https://api.appstoreconnect.apple.com/v1/users --Header "Authorization: Bearer lOOOOOOOOOOOONG_GENERATED_TOKEN"

这将列出 App Store Connect 的所有用户。请记住，我们必须在发出的每个请求中使用此令牌，并且必须每 20 分钟后创建一个新令牌。