invalid_client 用于使用苹果登录

Question

我试图实现的目标：

• iOS 客户端向后端发送 JWT 令牌。
• 后端 (Java) 调用https://appleid.apple.com/auth/token来验证令牌。

到目前为止我所拥有的：

拨打苹果验证电话：

        restTemplate = new RestTemplate();

        HttpHeaders headers = new HttpHeaders();
        headers.setContentType(MediaType.APPLICATION_FORM_URLENCODED);
        MultiValueMap<String, String> map = new LinkedMultiValueMap<>();
        map.add("client_id", clientId); // app_id like com.app.id
        String token = generateJWT();   // generated jwt
        map.add("client_secret", token); 
        map.add("grant_type", "authorization_code");
        map.add("code", authorizationCode);  // JWT code we got from iOS
        HttpEntity<MultiValueMap<String, String>> request = new HttpEntity<>(map, headers);

        final String appleAuthURL = "https://appleid.apple.com/auth/token";
        String response = restTemplate.postForObject(appleAuthURL, request, String.class);

代币生成：

        final PrivateKey privateKey = getPrivateKey();
        final int expiration = 1000 * 60 * 5;

        String token = Jwts.builder()
                .setHeaderParam(JwsHeader.KEY_ID, keyId) // key id I got from Apple 
                .setIssuer(teamId)  
                .setAudience("https://appleid.apple.com")
                .setSubject(clientId) // app id com.app.id
                .setExpiration(new Date(System.currentTimeMillis() + expiration))
                .setIssuedAt(new Date(System.currentTimeMillis()))
                .signWith(SignatureAlgorithm.ES256, privateKey) // ECDSA using P-256 and SHA-256
                .compact();

        return token;

从文件中获取我的私钥：

        final Reader pemReader = new StringReader(getKeyData());
        final PEMParser pemParser = new PEMParser(pemReader);
        final JcaPEMKeyConverter converter = new JcaPEMKeyConverter();
        final PrivateKeyInfo object = (PrivateKeyInfo) pemParser.readObject();
        final PrivateKey pKey = converter.getPrivateKey(object);

我确认我的 JWT 具有所有必填字段：

{
  "kid": "SAME KEY AS MY KEY ID",
  "alg": "ES256"
}

{
  "iss": "Blahblah",
  "aud": "https://appleid.apple.com",
  "sub": "com.app.id",
  "exp": 1578513833,
  "iat": 1578513533
}

Answer 1

这行引起了我的注意：

map.add("code", authorizationCode);  // JWT code we got from iOS

这authorizationCode不是一个jwt

JSON Web Tokens 由用点分隔的 3 部分组成

但authorizationCode有 4 个部分是这样的：

text1.text2.0.text3

您可能正在使用identityToken来自 iOS 应用程序的authorizationCode

这是您检索它的方式：

let authorizationCode = String(data: appleIDCredential.authorizationCode!, encoding: .utf8)!
print("authorizationCode: \(authorizationCode)")

对于那些在遇到相同invalid_client错误后可能会来到这里的人，请记住以下几点：

1. Kid 是来自 developer.apple.com/account/resources/authkeys/list 的私钥的 ID

2. keyFile 是保存从 developer.apple.com 下载的私钥的文件

3. 登录developer.apple.com，点击账号，可以找到teamID，右上角可以看到teamID

4. aud 中的值应为https://appleid.apple.com

5. app_id 是应用程序的包标识符

如果它可能有帮助，这里有一个在 python 中创建 client_secret 的工作解决方案：

# $ pip install pyjwt
import jwt
import time

kid = "myKeyId"  
keyFile = "/pathToFile/AuthKey.p8"
key = ""
with open(keyFile, 'r') as myFile:
    key = myFile.read()

print(key)

timeNow = int(round(time.time()))
time3Months = timeNow + 86400*90

claims = {
    'iss': teamID,
    'iat': timeNow,
    'exp': time3Months,
    'aud': 'https://appleid.apple.com',
    'sub': app_id,
}


secret = jwt.encode(claims, key, algorithm='ES256', headers={'kid': kid})
print("secret:")
print(secret)
client_secret = secret.decode("utf-8")
print(client_secret)