このライブラリを使用して、Apple サインインを Android アプリに実装しようとしています。メイン フローはドキュメントに記載されています。ライブラリは Android 側で認証コードを返します。この認証コードはバックエンドに送信する必要があり、バックエンドはそれを Apple サーバーに送信して、アクセス トークンを取得します。
こことここで説明されているように、アクセス トークンを取得するには、Apple API にパラメーターのリスト、認証コード、および署名付き JWT を送信する必要があります。特に、JWT は、Apple 開発者ポータルから生成およびダウンロードする必要がある秘密 .p8 キーを使用して、ES256 アルゴリズムで署名する必要があります。アップルドキュメント
これが私のPHPスクリプトです:
<?php
$authorization_code = $_POST('auth_code');
$privateKey = <<<EOD
-----BEGIN PRIVATE KEY-----
my_private_key_downloaded_from_apple_developer_portal (.p8 format)
-----END PRIVATE KEY-----
EOD;
$kid = 'key_id_of_the_private_key'; //Generated in Apple developer Portal
$iss = 'team_id_of_my_developer_profile';
$client_id = 'identifier_setted_in_developer_portal'; //Generated in Apple developer Portal
$signed_jwt = $this->generateJWT($kid, $iss, $client_id, $privateKey);
$data = [
'client_id' => $client_id,
'client_secret' => $signed_jwt,
'code' => $authorization_code,
'grant_type' => 'authorization_code'
];
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, 'https://appleid.apple.com/auth/token');
curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_POSTFIELDS, $data);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
$serverOutput = curl_exec($ch);
curl_close ($ch);
var_dump($serverOutput);
function generateJWT($kid, $iss, $sub, $key) {
$header = [
'alg' => 'ES256',
'kid' => $kid
];
$body = [
'iss' => $iss,
'iat' => time(),
'exp' => time() + 3600,
'aud' => 'https://appleid.apple.com',
'sub' => $sub
];
$privKey = openssl_pkey_get_private($key);
if (!$privKey) return false;
$payload = $this->encode(json_encode($header)).'.'.$this->encode(json_encode($body));
$signature = '';
$success = openssl_sign($payload, $signature, $privKey, OPENSSL_ALGO_SHA256);
if (!$success) return false;
return $payload.'.'.$this->encode($signature);
}
function encode($data) {
$encoded = strtr(base64_encode($data), '+/', '-_');
return rtrim($encoded, '=');
}
?>
問題は、Apple からの応答が常に次のようになることです。
{"error":"invalid_client"}
ここを読むと、問題は、Apple にとって正しくない署名を生成する openSSL に関連しているようです (「OpenSSL の ES256 署名の結果は、DER でエンコードされた ASN.1 構造です (サイズは 64 を超えています)。(生の R | ではありません)。 |S値)」)。
openSSL を使用して正しい署名を取得する方法はありますか?
p8 形式は、openssl_sign および openssl_pkey_get_private 関数の正しい入力ですか? (提供された .p8 キーは、署名された jwt を計算するためにjwt.ioで 使用すると機能しないことに気付きました。)
openSSL のドキュメントで、pem キーを提供する必要があると読みましたが、.p8 を .pem キーに変換するにはどうすればよいですか?
firebase/php-jwtやlcobucci/jwtなど、基本的に上記と同じ手順を使用するいくつかの PHP ライブラリも試しましたが、Apple の応答は依然として「無効なクライアント」です。
よろしくお願いいたします。
編集
方程式から openSSL を完全に削除しようとしました。.p8 キーから生成された .pem キーを使用して、jwt.io で署名付き JWT を生成しました。この署名付き JWT を使用すると、Apple API は正しく応答します。この時点で、openSSL 署名の問題であるとほぼ確信しています。重要な問題は、PHP と openSSL を使用して適切な ES256 署名を取得する方法です。