CloudKit межсерверная аутентификация

Apple опубликовала новый метод аутентификации на CloudKit, сервер-сервер. https://developer.apple.com/library/content/documentation/DataManagement/Conceptual/CloudKitWebServicesReference/SettingUpWebServices.html

Я пытался пройти проверку подлинности с помощью CloudKit и этого метода. Сначала я сгенерировал пару ключей и дал открытый ключ CloudKit, пока проблем нет.

Я начал строить заголовок запроса. По документации это должно выглядеть так:

X-Apple-CloudKit-Request-KeyID: [keyID]  
X-Apple-CloudKit-Request-ISO8601Date: [date]  
X-Apple-CloudKit-Request-SignatureV1: [signature]
  • [keyID], нет проблем. Вы можете найти это на панели инструментов CloudKit.
  • [Дата], я думаю, что это должно работать: 2016-02-06T20: 41: 00Z
  • [подпись], вот проблема...

В документации сказано:

Подпись, созданная на шаге 1.

Шаг 1 говорит:

Объедините следующие параметры и разделите их двоеточиями.
[Current date]:[Request body]:[Web Service URL]

Я спросил себя: "Почему я должен генерировать пару ключей?".
Но шаг 2 говорит:

Вычислите подпись ECDSA этого сообщения с вашим личным ключом.

Может быть, они хотят подписать составную подпись закрытым ключом и поместить это в заголовок? Во всяком случае, я попробовал оба...

Мой образец для этого значения (без знака) выглядит так:

2016-02-06T20:41:00Z:YTdkNzAwYTllNjI1M2EyZTllNDNiZjVmYjg0MWFhMGRiMTE2MjI1NTYwNTA2YzQyODc4MjUwNTQ0YTE5YTg4Yw==:https://api.apple-cloudkit.com/database/1/[iCloud Container]/development/public/records/lookup

Тело запроса имеет значение SHA256 и затем кодируется в base64. Мой вопрос заключается в том, что я должен объединить с ":", но URL-адрес и дата также содержит ":". Это правильно? (Я также попытался URL-кодировать URL-адрес и удалить ":" в дате).
Затем я подписал эту строку подписи с помощью ECDSA, поместил ее в заголовок и отправил. Но я всегда получаю 401 "Ошибка аутентификации". Чтобы подписать его, я использовал модуль python ecdsa со следующими командами:

from ecdsa import SigningKey  
a = SigningKey.from_pem(open("path_to_pem_file").read())  
b = "[date]:[base64(request_body)]:/database/1/iCloud....."  
print a.sign(b).encode('hex')

Может быть, модуль Python не работает правильно. Но он может генерировать правильный открытый ключ из закрытого ключа. Поэтому я надеюсь, что другие функции также работают.

Кому-нибудь удалось пройти аутентификацию в CloudKit с помощью метода сервер-сервер? Как это работает правильно?

Редактировать: Правильная версия Python, которая работает

from ecdsa import SigningKey
import ecdsa, base64, hashlib  

a = SigningKey.from_pem(open("path_to_pem_file").read())  
b = "[date]:[base64(sha256(request_body))]:/database/1/iCloud....."  
signature = a.sign(b, hashfunc=hashlib.sha256, sigencode=ecdsa.util.sigencode_der)  
signature = base64.b64encode(signature)
print signature #include this into the header
Источник

6 ответов

Решение

Последняя часть сообщения

[Current date]:[Request body]:[Web Service URL]

не должен включать домен (он должен включать любые параметры запроса):

2016-02-06T20:41:00Z:YTdkNzAwYTllNjI1M2EyZTllNDNiZjVmYjg0MWFhMGRiMTE2MjI1NTYwNTA2YzQyODc4MjUwNTQ0YTE5YTg4Yw==:/database/1/[iCloud Container]/development/public/records/lookup

С символами новой строки для лучшей читаемости:

2016-02-06T20:41:00Z
:YTdkNzAwYTllNjI1M2EyZTllNDNiZjVmYjg0MWFhMGRiMTE2MjI1NTYwNTA2YzQyODc4MjUwNTQ0YTE5YTg4Yw==
:/database/1/[iCloud Container]/development/public/records/lookup

Ниже показано, как вычислить значение заголовка в псевдокоде.

Точные вызовы API зависят от конкретного языка и библиотеки шифрования, которую вы используете.

//1. Date
//Example: 2016-02-07T18:58:24Z
//Pitfall: make sure to not include milliseconds
date = isoDateWithoutMilliseconds() 

//2. Payload
//Example (empty string base64 encoded; GET requests):
//47DEQpj8HBSa+/TImW+5JCeuQeRkm5NMpJWZG3hSuFU=
//Pitfall: make sure the output is base64 encoded (not hex)
payload = base64encode(sha256(body))  

//3. Path
//Example: /database/1/[containerIdentifier]/development/public/records/lookup
//Pitfall: Don't include the domain; do include any query parameter
path = stripDomainKeepQueryParams(url) 

//4. Message
//Join date, payload, and path with colons
message = date + ':' + payload + ':' + path

//5. Compute a signature for the message using your private key.
//This step looks very different for every language/crypto lib.
//Pitfall: make sure the output is base64 encoded.
//Hint: the key itself contains information about the signature algorithm 
//      (on NodeJS you can use the signature name 'RSA-SHA256' to compute a 
//      the correct ECDSA signature with an ECDSA key).
signature = base64encode(sign(message, key))

//6. Set headers
X-Apple-CloudKit-Request-KeyID = keyID 
X-Apple-CloudKit-Request-ISO8601Date = date  
X-Apple-CloudKit-Request-SignatureV1 = signature

//7. For POST requests, don't forget to actually send the unsigned request body
//   (not just the headers)
Источник

Извлекая реализацию Apple cloudkit.js и используя первый вызов из примера кода Apple node-client-s2s/index.js, вы можете создать следующее:

Вы хэшируете тело запроса с помощью sha256:

var crypto = require('crypto');
var bodyHasher = crypto.createHash('sha256');
bodyHasher.update(requestBody);
var hashedBody = bodyHasher.digest("base64");

Знак [Current date]:[Request body]:[Web Service URL] полезная нагрузка с закрытым ключом, указанным в конфигурации.

var c = crypto.createSign("RSA-SHA256");
c.update(rawPayload);
var requestSignature = c.sign(key, "base64");

Другое примечание [Web Service URL] Компонент полезной нагрузки не должен включать домен, но ему нужны какие-либо параметры запроса.

Убедитесь, что значение даты совпадает с X-Apple-CloudKit-Request-ISO8601Date как это в подписи. (Эти детали не документированы полностью, но их можно увидеть, просмотрев реализацию CloudKit.js).

Более полный пример nodejs выглядит так:

(function() {

const https = require('https');
var fs = require('fs');
var crypto = require('crypto');

var key = fs.readFileSync(__dirname + '/eckey.pem', "utf8");
var authKeyID = 'auth-key-id';

// path of our request (domain not included)
var requestPath = "/database/1/iCloud.containerIdentifier/development/public/users/current";

// request body (GET request is blank)
var requestBody = '';

// date string without milliseconds
var requestDate = (new Date).toISOString().replace(/(\.\d\d\d)Z/, "Z");

var bodyHasher = crypto.createHash('sha256');
bodyHasher.update(requestBody);
var hashedBody = bodyHasher.digest("base64");

var rawPayload = requestDate + ":" + hashedBody + ":" + requestPath;

// sign payload
var c = crypto.createSign("sha256");
c.update(rawPayload);
var requestSignature = c.sign(key, "base64");

// put headers together
var headers = {
    'X-Apple-CloudKit-Request-KeyID': authKeyID,
    'X-Apple-CloudKit-Request-ISO8601Date': requestDate,
    'X-Apple-CloudKit-Request-SignatureV1': requestSignature
};

var options = {
    hostname: 'api.apple-cloudkit.com',
    port: 443,
    path: requestPath,
    method: 'GET',
    headers: headers
};

var req = https.request(options, (res) => {
   //... handle nodejs response
});

req.end();

})();

Это также существует как суть: https://gist.github.com/jessedc/a3161186b450317a9cb5

В командной строке с openssl (Обновлено)

Первое хеширование можно выполнить с помощью этой команды:

openssl sha -sha256 -binary < body.txt | base64

Чтобы подписать вторую часть запроса, вам нужна более современная версия openSSL, чем в OSX 10.11, и используйте следующую команду:

/usr/local/bin/openssl dgst -sha256WithRSAEncryption -binary -sign ck-server-key.pem raw_signature.txt | base64

Спасибо @maurice_vB ниже и в твиттере за эту информацию

Источник

Я сделал пример работающего кода на PHP: https://gist.github.com/Mauricevb/87c144cec514c5ce73bd(на основе примера JavaScript @ Jessedc)

Кстати, убедитесь, что вы установили дату в часовом поясе UTC. Мой код не работал из-за этого.

Источник

Извлек это из проекта, над которым я работаю в Node. Может быть, вы найдете это полезным. Заменить X-Apple-CloudKit-Request-KeyID и идентификатор контейнера в requestOptions.path чтобы это работало.

Закрытый ключ / pem генерируется с помощью: openssl ecparam -name prime256v1 -genkey -noout -out eckey.pem и сгенерировать открытый ключ для регистрации на панели инструментов CloudKit openssl ec -in eckey.pem -pubout,

var crypto = require("crypto"),
    https = require("https"),
    fs = require("fs")

var CloudKitRequest = function(payload) {
  this.payload = payload
  this.requestOptions = { // Used with `https.request`
    hostname: "api.apple-cloudkit.com",
    port: 443,
    path: '/database/1/iCloud.com.your.container/development/public/records/modify',
    method: 'POST',
    headers: { // We will add more headers in the sign methods
      "X-Apple-CloudKit-Request-KeyID": "your-ck-request-keyID"
    }
  }
}

Чтобы подписать запрос:

CloudKitRequest.prototype.sign = function(privateKey) {
  var dateString = new Date().toISOString().replace(/\.[0-9]+?Z/, "Z"), // NOTE: No milliseconds
      hash = crypto.createHash("sha256"),
      sign = crypto.createSign("RSA-SHA256")

  // Create the hash of the payload
  hash.update(this.payload, "utf8")
  var payloadSignature = hash.digest("base64")

  // Create the signature string to sign
  var signatureData = [
    dateString,
    payloadSignature,
    this.requestOptions.path
  ].join(":") // [Date]:[Request body]:[Web Service URL]

  // Construct the signature
  sign.update(signatureData)
  var signature = sign.sign(privateKey, "base64")

  // Update the request headers
  this.requestOptions.headers["X-Apple-CloudKit-Request-ISO8601Date"] = dateString
  this.requestOptions.headers["X-Apple-CloudKit-Request-SignatureV1"] = signature

  return signature // This might be useful to keep around
}

И теперь вы можете отправить запрос:

CloudKitRequest.prototype.send = function(cb) {
  var request = https.request(this.requestOptions, function(response) {
    var responseBody = ""

    response.on("data", function(chunk) {
      responseBody += chunk.toString("utf8")
    })

    response.on("end", function() {
      cb(null, JSON.parse(responseBody))
    })
  })

  request.on("error", function(err) {
    cb(err, null)
  })

  request.end(this.payload)
}

Итак, учитывая следующее:

var privateKey = fs.readFileSync("./eckey.pem"),
    creationPayload = JSON.stringify({
      "operations": [{
          "operationType" : "create",
          "record" : {
            "recordType" : "Post",
            "fields" : {
              "title" : { "value" : "A Post From The Server" }
          }
        }
      }]
    })

Используя запрос:

var creationRequest = new CloudKitRequest(creationPayload)
creationRequest.sign(privateKey)
creationRequest.send(function(err, response) {
  console.log("Created a new entry with error", err, "and respone", response)
})

Для вашего удовольствия вставки копии: https://gist.github.com/spllr/4bf3fadb7f6168f67698 (отредактировано)

Источник

В случае, если кто-то другой пытается сделать это через Ruby, существует псевдоним ключевого метода, необходимый, чтобы обезьяна исправила работу библиотеки OpenSSL:

def signature_for_request(body_json, url, iso8601_date)
  body_sha_hash = Digest::SHA256.digest(body_json)

  payload_for_signature = [iso8601_date, Base64.strict_encode64(body_sha_hash), url].join(":")

  OpenSSL::PKey::EC.send(:alias_method, :private?, :private_key?)

  ec = OpenSSL::PKey::EC.new(CK_PEM_STRING)
  digest = OpenSSL::Digest::SHA256.new
  signature = ec.sign(digest, payload_for_signature)
  base64_signature = Base64.strict_encode64(signature)

  return base64_signature
end

Обратите внимание, что в приведенном выше примере url - это путь, исключающий компонент домена (начинающийся с /database...), а CK_PEM_STRING - это просто File.read из pem, сгенерированного при настройке пары личного / открытого ключа.

Iso8601_date легче всего создать с помощью:

Time.now.utc.iso8601

Конечно, вы хотите сохранить это в переменной, чтобы включить в ваш окончательный запрос. Построение окончательного запроса может быть выполнено по следующей схеме:

def perform_request(url, body, iso8601_date)

  signature = self.signature_for_request(body, url, iso8601_date)

  uri = URI.parse(CK_SERVICE_BASE + url)

  header = {
    "Content-Type" => "text/plain",
    "X-Apple-CloudKit-Request-KeyID" => CK_KEY_ID,
    "X-Apple-CloudKit-Request-ISO8601Date" => iso8601_date,
    "X-Apple-CloudKit-Request-SignatureV1" => signature
  }

  # Create the HTTP objects
  http = Net::HTTP.new(uri.host, uri.port)
  http.use_ssl = true
  request = Net::HTTP::Post.new(uri.request_uri, header)
  request.body = body

  # Send the request
  response = http.request(request)

  return response
end

Работает как шарм сейчас для меня.

Источник

У меня была та же проблема, и я написал библиотеку, которая работает с python-запросами для взаимодействия с CloudKit API в Python.

pip install requests-cloudkit

После установки просто импортируйте обработчик аутентификации (CloudKitAuth) и использовать его напрямую с запросами. Он будет прозрачно проверять подлинность любого вашего запроса к API CloudKit.

>>> import requests
>>> from requests_cloudkit import CloudKitAuth
>>> auth = CloudKitAuth(key_id=YOUR_KEY_ID, key_file_name=YOUR_PRIVATE_KEY_PATH)
>>> requests.get("https://api.apple-cloudkit.com/database/[version]/[container]/[environment]/public/zones/list", auth=auth)

Проект GitHub доступен по адресу https://github.com/lionheart/requests-cloudkit если вы хотите внести свой вклад или сообщить о проблеме.

Источник
Другие вопросы по тегам