Passer à la navigation principale

Configuration iOS & vérification backend

GitHub

Sur iOS, ce plugin utilise Attestation d'application Apple du DeviceCheck framework.

  • iOS 14+
  • Un appareil physique est recommandé pour les flux de validation réels
  • Cible Xcode avec la capacité App Attest activée
  1. Ouvrez votre cible d'application iOS dans Xcode.
  2. Allez à Signature et capacités.
  3. Cliquez sur + Capacité et ajoutez App Attest.

Aucune autorisation iOS personnalisée n'est requise dans Info.plist pour App Attest elle-même.

import { AppAttest } from '@capgo/capacitor-app-attest';
const { keyId } = await AppAttest.prepare();
const attestation = await AppAttest.createAttestation({
keyId,
challenge: 'backend-registration-challenge',
});
const assertion = await AppAttest.createAssertion({
keyId,
payload: 'backend-request-payload',
});

Envoyer attestation.token et assertion.token à votre backend. N'effectuez pas de validation dans l'application.

  1. Backend crée une attestation unique challenge.
  2. L'application appelle createAttestation({ keyId, challenge }).
  3. Backend vérifie l'attestation d'App Attest :
    • La chaîne de certificats est valide et ancrée à Apple App Attest
    • L'identité de l'application correspond à votre application (bundleId, équipe)
    • clientDataHash correspond SHA256(challenge)
  4. Stocke l'état de la clé de l'appareil (keyId, clé publique et métadonnées de vérificateur).
  1. Backend crée une attestation unique payload (ou hash de requête canonique d'entrée).
  2. Appels d'application createAssertion({ keyId, payload }).
  3. Le serveur de backend vérifie la signature d'assertion avec le matériel de clé stocké précédemment.
  4. Appliquer une protection contre la reprise et effectuer des vérifications de TTL sur le nonce.
sequenceDiagram
participant App as iOS App
participant Plugin as AppAttest plugin
participant Apple as Apple App Attest
participant BE as Backend
BE->>App: one-time challenge
App->>Plugin: prepare()
Plugin->>Apple: generateKey()
Apple-->>Plugin: keyId
App->>Plugin: createAttestation(keyId, challenge)
Plugin->>Apple: attestKey(keyId, SHA256(challenge))
Apple-->>Plugin: attestation token
Plugin-->>App: token + platform + format + keyId
App->>BE: token + challenge + keyId
BE->>BE: verify Apple attestation rules
BE->>App: one-time payload
App->>Plugin: createAssertion(keyId, payload)
Plugin->>Apple: generateAssertion(keyId, SHA256(payload))
Apple-->>Plugin: assertion token
Plugin-->>App: token + platform + format + keyId
App->>BE: token + payload + keyId
BE->>BE: verify signature + replay policy

Inscription :

{
"platform": "ios",
"format": "apple-app-attest",
"keyId": "string",
"challenge": "string",
"token": "string"
}

Assertion :

{
"platform": "ios",
"format": "apple-app-attest",
"keyId": "string",
"payload": "string",
"token": "string"
}

Continuez de la configuration iOS et de la vérification de l'arrière-plan

Section intitulée “Continuez de la configuration iOS et de la vérification de l'arrière-plan”

Si vous utilisez Configuration iOS et vérification de l'arrière-plan pour planifier la sécurité et la conformité, connectez-le à En utilisant @capgo/capacitor-app-attest pour la capacité native dans En utilisant @capgo/capacitor-app-attest, Chiffrement pour le détail d'implémentation dans Chiffrement, Conformité pour le détail d'implémentation dans Conformité, Capgo Scanner de sécurité pour le flux de travail du produit dans Capgo Scanner de sécurité, et Capgo Sécurité pour le flux de travail du produit dans Capgo Sécurité.