跳过内容

iOS Setup & Backend Verification

GitHub

使用 iOS 原生系统

标题:使用 iOS 原生系统

在 iOS 上,这个插件使用 Apple App Attest 来自 DeviceCheck 框架。

  • iOS 14+
  • 建议使用物理设备进行真实验证流程
  • 已启用 App Attest 能力

Xcode 配置

Xcode 配置
  1. 在 Xcode 中打开您的 iOS 应用目标。
  2. 前往 签名和能力.
  3. 点击 + 能力 并添加 App Attest.

不需要自定义 iOS 权限在 Info.plist 用于 App Attest 本身。

客户端流程

客户端流程
import { AppAttest } from '@capgo/capacitor-app-attest';
const { keyId } = await AppAttest.prepare();
const attestation = await AppAttest.createAttestation({
keyId,
challenge: 'backend-registration-challenge',
});
const assertion = await AppAttest.createAssertion({
keyId,
payload: 'backend-request-payload',
});

发送 attestation.tokenassertion.token 到您的后端。不要在应用中验证它们。

iOS 后端工作流

iOS 后端工作流

注册(createAttestation)

注册(createAttestation)
  1. 后端创建一次性 challenge.
  2. App调用 createAttestation({ keyId, challenge }).
  3. 后端验证App Attest attestation:
    • 证书链有效并且与Apple App Attest相连
    • app身份与您的app(bundleId,团队)
    • clientDataHash 匹配 SHA256(challenge)
  4. 存储设备密钥状态(keyId,公钥和验证器元数据)

请求保护(createAssertion)

后端创建一次性
  1. 后端创建一次性 payload (或canonical请求hash输入)。
  2. App调用 createAssertion({ keyId, payload }).
  3. 后端验证声明签名与之前存储的密钥材料
  4. 强制重放保护和nonce TTL检查
sequenceDiagram
participant App as iOS App
participant Plugin as AppAttest plugin
participant Apple as Apple App Attest
participant BE as Backend
BE->>App: one-time challenge
App->>Plugin: prepare()
Plugin->>Apple: generateKey()
Apple-->>Plugin: keyId
App->>Plugin: createAttestation(keyId, challenge)
Plugin->>Apple: attestKey(keyId, SHA256(challenge))
Apple-->>Plugin: attestation token
Plugin-->>App: token + platform + format + keyId
App->>BE: token + challenge + keyId
BE->>BE: verify Apple attestation rules
BE->>App: one-time payload
App->>Plugin: createAssertion(keyId, payload)
Plugin->>Apple: generateAssertion(keyId, SHA256(payload))
Apple-->>Plugin: assertion token
Plugin-->>App: token + platform + format + keyId
App->>BE: token + payload + keyId
BE->>BE: verify signature + replay policy

最小后端载荷协议

标题:最小后端载荷协议

注册:

{
"platform": "ios",
"format": "apple-app-attest",
"keyId": "string",
"challenge": "string",
"token": "string"
}

声明:

{
"platform": "ios",
"format": "apple-app-attest",
"keyId": "string",
"payload": "string",
"token": "string"
}

从iOS设置和后端验证继续

标题:从iOS设置和后端验证继续

如果您正在使用 iOS设置和后端验证 来规划安全性和合规性,连接它与 使用@capgo/capacitor-app-attest 为native能力在使用@capgo/capacitor-app-attest中 加密 为加密实现细节 合规 为合规实现细节 Capgo 安全扫描器 为产品工作流程在 Capgo 安全扫描器中 Capgo 安全 为产品工作流程在 Capgo 安全中