Pular al contenido

Configuración de iOS y verificación de backend

GitHub

En iOS, este plugin utiliza Apple App Attest desde el DeviceCheck framework.

  • iOS 14+
  • Se recomienda un dispositivo físico para flujos de validación reales
  • Objetivo de Xcode con la capacidad de App Attest habilitada
  1. Abra su objetivo de aplicación iOS en Xcode.
  2. Vaya a Configuración de firma y capacidades.
  3. Haga clic + Capacidad y agregue App Attest.

No se requieren permisos iOS personalizados en Info.plist para App Attest en sí.

import { AppAttest } from '@capgo/capacitor-app-attest';
const { keyId } = await AppAttest.prepare();
const attestation = await AppAttest.createAttestation({
keyId,
challenge: 'backend-registration-challenge',
});
const assertion = await AppAttest.createAssertion({
keyId,
payload: 'backend-request-payload',
});

Enviar attestation.token y assertion.token a su backend. No los validen en la aplicación.

  1. Crea un certificado de una sola vez challenge.
  2. La aplicación llama createAttestation({ keyId, challenge }).
  3. El backend verifica la attestación de App Attest:
    • La cadena de certificados es válida y está anclada a Apple App Attest
    • La identidad de la aplicación coincide con su aplicación (bundleId, equipo)
    • clientDataHash coincide SHA256(challenge)
  4. Almacena el estado de la clave del dispositivo (keyId, clave pública y metadatos del verificador).
  1. El backend crea un certificado de una sola vez payload (o hash de solicitud canónica de entrada).
  2. Llamadas de la aplicación createAssertion({ keyId, payload }).
  3. Verifica el servidor la firma de aserción con el material de clave almacenado previamente.
  4. Proteja contra retransmisiones y compruebe la vida útil de nonce.
sequenceDiagram
participant App as iOS App
participant Plugin as AppAttest plugin
participant Apple as Apple App Attest
participant BE as Backend
BE->>App: one-time challenge
App->>Plugin: prepare()
Plugin->>Apple: generateKey()
Apple-->>Plugin: keyId
App->>Plugin: createAttestation(keyId, challenge)
Plugin->>Apple: attestKey(keyId, SHA256(challenge))
Apple-->>Plugin: attestation token
Plugin-->>App: token + platform + format + keyId
App->>BE: token + challenge + keyId
BE->>BE: verify Apple attestation rules
BE->>App: one-time payload
App->>Plugin: createAssertion(keyId, payload)
Plugin->>Apple: generateAssertion(keyId, SHA256(payload))
Apple-->>Plugin: assertion token
Plugin-->>App: token + platform + format + keyId
App->>BE: token + payload + keyId
BE->>BE: verify signature + replay policy

Registro:

{
"platform": "ios",
"format": "apple-app-attest",
"keyId": "string",
"challenge": "string",
"token": "string"
}

Aserción:

{
"platform": "ios",
"format": "apple-app-attest",
"keyId": "string",
"payload": "string",
"token": "string"
}

Continuar desde la configuración de iOS y la verificación de backend

Sección titulada “Continuar desde la configuración de iOS y la verificación de backend”

Si estás utilizando Configuración de iOS y verificación de backend para planificar la seguridad y la conformidad, conecta con Usando @capgo/capacitor-app-attest para la capacidad nativa en Usando @capgo/capacitor-app-attest Cifrado para el detalle de implementación en Cifrado Conformidad para el detalle de implementación en Conformidad Capgo Security Scanner for the product workflow in Capgo Security Scanner, and Capgo Security for the product workflow in Capgo Security.