コンテンツにスキップ

iOS セットアップ & バックエンド検証

GitHub

iOS用のネイティブシステムを使用します。

iOSの場合、このプラグインは

Apple App Attest から フレームワークを使用します。 DeviceCheck framework.

  • iOS 14+
  • 実機が推奨されるため、実際の検証フローで使用するには物理デバイスが必要
  • App Attest機能を有効にしたXcodeターゲット

Xcodeの設定

「Xcodeの設定」
  1. XcodeでiOSアプリのターゲットを開いてください。
  2. Signing & Capabilities.
  3. 「+ Capability」 と追加 App Attest App Attest機能.

iOS用のカスタムパーミッションは必要ありません。 Info.plist App Attest自体の場合です。

クライアントフロー

クライアントフロー
import { AppAttest } from '@capgo/capacitor-app-attest';
const { keyId } = await AppAttest.prepare();
const attestation = await AppAttest.createAttestation({
keyId,
challenge: 'backend-registration-challenge',
});
const assertion = await AppAttest.createAssertion({
keyId,
payload: 'backend-request-payload',
});

送信 attestation.tokenassertion.token あなたのバックエンドに送信してください。バックエンドで検証しないでください。

バックエンドワークフロー(iOS)

バックエンドワークフロー(iOS)

登録(createAttestation)

登録(createAttestation)
  1. バックエンドは一時的な challenge.
  2. アプリが呼び出す createAttestation({ keyId, challenge }).
  3. バックエンドはアプリの証明書の
    • 証明書チェーンが有効であり、Apple App Attestにアンカーされている
    • アプリのIDがあなたのアプリ(bundleId,
    • clientDataHash )のチームと一致している SHA256(challenge)
  4. 一致するkeyIdデバイスのキー状態を保存 (

,createAssertion)

)
  1. 保護要求 (createAssertion) セクションのタイトル “保護要求 (createAssertion)」 payload (またはcanonical request hash入力).
  2. アプリが呼び出す createAssertion({ keyId, payload }).
  3. バックエンドが以前のキー材料とともに署名の検証を行う
  4. 再生保護とnonce TTLのチェックを強制する
sequenceDiagram
participant App as iOS App
participant Plugin as AppAttest plugin
participant Apple as Apple App Attest
participant BE as Backend
BE->>App: one-time challenge
App->>Plugin: prepare()
Plugin->>Apple: generateKey()
Apple-->>Plugin: keyId
App->>Plugin: createAttestation(keyId, challenge)
Plugin->>Apple: attestKey(keyId, SHA256(challenge))
Apple-->>Plugin: attestation token
Plugin-->>App: token + platform + format + keyId
App->>BE: token + challenge + keyId
BE->>BE: verify Apple attestation rules
BE->>App: one-time payload
App->>Plugin: createAssertion(keyId, payload)
Plugin->>Apple: generateAssertion(keyId, SHA256(payload))
Apple-->>Plugin: assertion token
Plugin-->>App: token + platform + format + keyId
App->>BE: token + payload + keyId
BE->>BE: verify signature + replay policy

登録:

{
"platform": "ios",
"format": "apple-app-attest",
"keyId": "string",
"challenge": "string",
"token": "string"
}

証明:

{
"platform": "ios",
"format": "apple-app-attest",
"keyId": "string",
"payload": "string",
"token": "string"
}

iOS セットアップとバックエンド検証から続ける

iOS セットアップとバックエンド検証から続ける

Capgoを使用している場合 iOS セットアップとバックエンド検証 Capgoを使用して @capgo/capacitor-app-attest @capgo/capacitor-app-attestのネイティブ機能 暗号化 暗号化の実装詳細 規制 規制の実装詳細 Capgo セキュリティ スキャナー Capgo セキュリティ スキャナー の製品ワークフローで Capgo セキュリティ Capgo セキュリティ の製品ワークフローで