iOS设置和后端验证
复制一个包含安装步骤和此插件的完整Markdown指南的设置提示。
使用 iOS 原生系统
标题为“使用 iOS 原生系统”在 iOS 上,这个插件使用 苹果 App Attest 来自 DeviceCheck 框架
需求
第一个部分:需求- iOS 14+
- 建议使用物理设备进行真实验证流程
- Xcode目标中启用App Attest功能
Xcode设置
打开您的iOS应用程序目标在Xcode中。- 转到
- 签名 & 能力 点击.
- + 能力 + 能力 并添加 App Attest.
在 App Attest 本身中,不需要自定义 iOS 权限。 Info.plist Client 流程
复制到剪贴板
发送import { AppAttest } from '@capgo/capacitor-app-attest';
const { keyId } = await AppAttest.prepare();
const attestation = await AppAttest.createAttestation({ keyId, challenge: 'backend-registration-challenge',});
const assertion = await AppAttest.createAssertion({ keyId, payload: 'backend-request-payload',});将其发送到您的后端。不要在应用中验证它们。 attestation.token iOS 后端工作流程 assertion.token iOS 后端工作流程
Section titled “Client flow”
Section titled “Backend workflow (iOS)”注册 (createAttestation)
标题:注册(createAttestation)- 后端创建一次性
challenge. - App调用
createAttestation({ keyId, challenge }). - 后端验证App Attest attestation:
- 证书链有效且与Apple App Attest相连
- app身份与您的app(
bundleId,团队) clientDataHash匹配SHA256(challenge)
- 存储设备密钥状态(
keyId,公钥和验证器元数据)
请求保护(createAssertion)
Section titled “防止重放请求(createAssertion)”- 后端创建一次性
payload(或canonical request hash输入). - 应用程序调用
createAssertion({ keyId, payload }). - 后端验证assertion签名与之前存储的密钥材料
- 强制执行重放保护和nonce TTL检查
iOS schema
Section titled “iOS schema”sequenceDiagram participant App as iOS App participant Plugin as AppAttest plugin participant Apple as Apple App Attest participant BE as Backend
BE->>App: one-time challenge App->>Plugin: prepare() Plugin->>Apple: generateKey() Apple-->>Plugin: keyId
App->>Plugin: createAttestation(keyId, challenge) Plugin->>Apple: attestKey(keyId, SHA256(challenge)) Apple-->>Plugin: attestation token Plugin-->>App: token + platform + format + keyId App->>BE: token + challenge + keyId BE->>BE: verify Apple attestation rules
BE->>App: one-time payload App->>Plugin: createAssertion(keyId, payload) Plugin->>Apple: generateAssertion(keyId, SHA256(payload)) Apple-->>Plugin: assertion token Plugin-->>App: token + platform + format + keyId App->>BE: token + payload + keyId BE->>BE: verify signature + replay policy最小后端载荷契约
Section titled “最小后端载荷契约”注册:
{ "platform": "ios", "format": "apple-app-attest", "keyId": "string", "challenge": "string", "token": "string"}断言:
{ "platform": "ios", "format": "apple-app-attest", "keyId": "string", "payload": "string", "token": "string"}从iOS设置和后端验证继续
标题:从iOS设置和后端验证继续如果您正在使用 iOS设置和后端验证 来规划安全性和合规性,连接它到 使用@capgo/capacitor-app-attest 为native能力在使用@capgo/capacitor-app-attest中 加密 为加密实现细节在加密中 合规 合规的实现细节 Capgo 安全扫描器 Capgo 安全扫描器的产品工作流程 Capgo 安全 Capgo 安全的产品工作流程