Iniciar sesión con Apple

@David, el autor del PR ha respondido a mi comentario, ¿qué opinas tú sobre esto?:

Yo:

¿Este PR parece resolver el problema de la falta de nombre y correo electrónico?

Autor del PR:

No, por desgracia no. Apple debe proporcionar un punto final de API REST para recuperar el nombre y el correo electrónico, ya que actualmente solo pasan esta información una vez tras una autenticación exitosa y no en autenticaciones posteriores.

¿No es suficiente con que sea una sola vez en la autorización inicial para nosotros?

Es mejor que nada, pero aún no es bueno. Por ejemplo, si “inicias sesión con Apple”, pero luego haces clic en cancelar en la pantalla de “crear cuenta”. O si conectas una cuenta existente con Apple y luego decides crear una nueva cuenta en su lugar. Esperemos que Apple resuelva eso antes de que termine la versión beta

¿Existe una implementación funcional de la función de inicio de sesión con Apple en esta etapa? Un sitio para el que estoy trabajando en un marketplace planea tener una aplicación para iOS; sin embargo, sin esta opción, no podemos habilitar otras opciones de autenticación a menos que queramos que nuestra aplicación sea rechazada por violar las directrices de la tienda de aplicaciones.

No que yo sepa. Estamos esperando que se resuelva este problema How to retrieve email and name? · Issue #8 · nhosoya/omniauth-apple · GitHub, aunque el propietario del repositorio lo ha cerrado de manera poco útil.

No estoy muy seguro, pero ¿no resuelven el problema commits como este y los otros commits de agosto?

Siéntete libre de instalar el plugin para probarlo, pero no tengo conocimiento de que ya esté resuelto. Sin embargo, no recomendaría usarlo en producción hasta que esté finalizado o, al menos, aprobado por un desarrollador que tenga tiempo para confirmar los detalles.

Soy un gran defensor de esta función. Me encantaría verla integrada en Discourse vanilla, al igual que las otras opciones de inicio de sesión.

Creo que no se puede recuperar ese tipo de información a propósito.

Mostrar un botón de “Iniciar sesión con Apple” en tu aplicación o sitio web significa que las personas pueden iniciar sesión o registrarse con solo un toque usando su ID de Apple, evitando rellenar formularios, verificar direcciones de correo electrónico y elegir contraseñas. Iniciar sesión con Apple ofrece una forma nueva y más privada de entrar de manera sencilla y rápida en aplicaciones y sitios web, brindando a las personas una experiencia de inicio de sesión coherente en la que pueden confiar y la comodidad de no tener que recordar múltiples cuentas y contraseñas. En los casos en que decidas solicitar un nombre y una dirección de correo electrónico, las personas tienen la opción de mantener su correo electrónico privado y compartir en su lugar una dirección de correo electrónico única y aleatoria.

Ver el artículo completo para desarrolladores de Apple

Tienes razón, la privacidad es una de las partes clave de «Iniciar sesión con Apple», pero lo esencial de tu cita es:

Asumiendo que las personas eligen darnos su nombre y correo electrónico, esperaríamos recibirlos del proveedor cada vez que el usuario inicie sesión. En la implementación actual, esto no ocurre. Tras la primera autenticación, no recibimos información del usuario.

No creo que esto sea algo que el autor de la gem pueda solucionar; es algo que Apple tendría que cambiar. No veo que eso ocurra pronto, así que quizás solo tengamos que pedir a los usuarios que introduzcan su nombre y correo electrónico en Discourse manualmente

Sí, pero ¿qué pasa con las personas que terminan eligiendo no proporcionar su información?

Ah, y aquí hay un concepto rudimentario.

pizap.com15778146570281820×767 55.9 KB

Buenas noticias:

Logré hacer que funcione parcialmente un fork del plugin de Robert/merefield (el fork solo implica cambiar a una copia del gem omniauth que compilé a partir de la última fuente en GitHub). Sin embargo, en mi Discourse de prueba (que tiene HTTPS de extremo a extremo mediante ngrok), tuve que establecer la configuración del sitio “Cookies del sitio” en (ninguna) para que la autenticación funcionara. Con la configuración desactivada, puedo crear una cuenta (incluso si cerré el formulario de registro) y volver a iniciar sesión; sin embargo, no puedo hacerlo si la configuración está activada.

A continuación se muestra el rastreo de la pila (backtrace) de un intento de inicio de sesión fallido:

/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/logster-2.5.1/lib/logster/logger.rb:112:in `report_to_store'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/logster-2.5.1/lib/logster/logger.rb:103:in `add_with_opts'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/logster-2.5.1/lib/logster/logger.rb:54:in `add'
/usr/local/lib/ruby/2.6.0/logger.rb:543:in `error'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/omniauth-1.9.0/lib/omniauth/strategy.rb:163:in `log'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/omniauth-1.9.0/lib/omniauth/strategy.rb:486:in `fail!'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/omniauth-oauth2-1.6.0/lib/omniauth/strategies/oauth2.rb:71:in `callback_phase'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/omniauth-1.9.0/lib/omniauth/strategy.rb:238:in `callback_call'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/omniauth-1.9.0/lib/omniauth/strategy.rb:189:in `call!'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/omniauth-1.9.0/lib/omniauth/strategy.rb:169:in `call'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/omniauth-1.9.0/lib/omniauth/strategy.rb:192:in `call!'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/omniauth-1.9.0/lib/omniauth/strategy.rb:169:in `call'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/omniauth-1.9.0/lib/omniauth/strategy.rb:192:in `call!'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/omniauth-1.9.0/lib/omniauth/strategy.rb:169:in `call'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/omniauth-1.9.0/lib/omniauth/strategy.rb:192:in `call!'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/omniauth-1.9.0/lib/omniauth/strategy.rb:169:in `call'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/omniauth-1.9.0/lib/omniauth/strategy.rb:192:in `call!'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/omniauth-1.9.0/lib/omniauth/strategy.rb:169:in `call'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/omniauth-1.9.0/lib/omniauth/strategy.rb:192:in `call!'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/omniauth-1.9.0/lib/omniauth/strategy.rb:169:in `call'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/omniauth-1.9.0/lib/omniauth/builder.rb:64:in `call'
/var/www/discourse/lib/middleware/omniauth_bypass_middleware.rb:47:in `call'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/rack-2.0.8/lib/rack/tempfile_reaper.rb:15:in `call'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/rack-2.0.8/lib/rack/conditional_get.rb:38:in `call'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/rack-2.0.8/lib/rack/head.rb:12:in `call'
/var/www/discourse/lib/content_security_policy/middleware.rb:12:in `call'
/var/www/discourse/lib/middleware/anonymous_cache.rb:318:in `call'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/rack-2.0.8/lib/rack/session/abstract/id.rb:259:in `context'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/rack-2.0.8/lib/rack/session/abstract/id.rb:253:in `call'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/actionpack-6.0.1/lib/action_dispatch/middleware/cookies.rb:648:in `call'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/actionpack-6.0.1/lib/action_dispatch/middleware/callbacks.rb:27:in `block in call'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/activesupport-6.0.1/lib/active_support/callbacks.rb:101:in `run_callbacks'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/actionpack-6.0.1/lib/action_dispatch/middleware/callbacks.rb:26:in `call'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/actionpack-6.0.1/lib/action_dispatch/middleware/actionable_exceptions.rb:17:in `call'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/actionpack-6.0.1/lib/action_dispatch/middleware/debug_exceptions.rb:32:in `call'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/actionpack-6.0.1/lib/action_dispatch/middleware/show_exceptions.rb:33:in `call'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/logster-2.5.1/lib/logster/middleware/reporter.rb:43:in `call'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/railties-6.0.1/lib/rails/rack/logger.rb:38:in `call_app'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/railties-6.0.1/lib/rails/rack/logger.rb:28:in `call'
/var/www/discourse/config/initializers/100-quiet_logger.rb:18:in `call'
/var/www/discourse/config/initializers/100-silence_logger.rb:31:in `call'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/actionpack-6.0.1/lib/action_dispatch/middleware/remote_ip.rb:81:in `call'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/actionpack-6.0.1/lib/action_dispatch/middleware/request_id.rb:27:in `call'
/var/www/discourse/lib/middleware/enforce_hostname.rb:17:in `call'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/rack-2.0.8/lib/rack/method_override.rb:22:in `call'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/actionpack-6.0.1/lib/action_dispatch/middleware/executor.rb:14:in `call'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/rack-2.0.8/lib/rack/sendfile.rb:111:in `call'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/actionpack-6.0.1/lib/action_dispatch/middleware/host_authorization.rb:77:in `call'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/rack-mini-profiler-1.1.4/lib/mini_profiler/profiler.rb:184:in `call'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/message_bus-2.2.3/lib/message_bus/rack/middleware.rb:57:in `call'
/var/www/discourse/lib/middleware/request_tracker.rb:181:in `call'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/railties-6.0.1/lib/rails/engine.rb:526:in `call'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/railties-6.0.1/lib/rails/railtie.rb:190:in `public_send'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/railties-6.0.1/lib/rails/railtie.rb:190:in `method_missing'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/rack-2.0.8/lib/rack/urlmap.rb:68:in `block in call'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/rack-2.0.8/lib/rack/urlmap.rb:53:in `each'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/rack-2.0.8/lib/rack/urlmap.rb:53:in `call'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/unicorn-5.5.2/lib/unicorn/http_server.rb:605:in `process_client'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/unicorn-5.5.2/lib/unicorn/http_server.rb:700:in `worker_loop'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/unicorn-5.5.2/lib/unicorn/http_server.rb:548:in `spawn_missing_workers'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/unicorn-5.5.2/lib/unicorn/http_server.rb:144:in `start'
/var/www/discourse/vendor/bundle/ruby/2.6.0/gems/unicorn-5.5.2/bin/unicorn:128:in `<top (required)>'
/var/www/discourse/vendor/bundle/ruby/2.6.0/bin/unicorn:23:in `load'
/var/www/discourse/vendor/bundle/ruby/2.6.0/bin/unicorn:23:in `<main>'

¿Alguien aquí tiene alguna sugerencia sobre si o cómo puedo reescribir el plugin para que ya no requiera desactivar esta configuración del sitio para que sus funciones principales funcionen? Mi código del plugin se encuentra en https://github.com/sau226dev/discourse-sign-in-with-apple y el último código que utilicé para reconstruir el gem omniauth debería estar en la misma organización de GitHub.

Gracias por cualquier ayuda que puedan brindar de antemano,

sau226

El plugin funcionaba en cierta medida originalmente, pero no ha recibido atención recientemente debido al problema descrito por David arriba.

Hasta que recibamos noticias positivas de que Apple ha resuelto ese bloqueo fundamental (enviar nombre y correo electrónico en cada intento de inicio de sesión), no vale la pena mantener este código, en mi opinión. No creo que haya nada que puedas hacer para sortearlo. Por eso ni siquiera he intentado actualizar las dependencias. El plugin fallaría en las pruebas de todos modos.

Así que este no es un plugin ‘lanzado’ (de lo contrario, este o un tema similar estaría en #plugin) y es poco probable que reciba soporte hasta que eso ocurra. Estaría encantado de ‘terminarlo’ si ese problema se resolviera y Apple proporcionara esa información.

Por cierto, hay otro problema importante: para usarlo en tu propio sitio, necesitas pagar por el Programa de Desarrolladores de Apple para obtener acceso a la configuración en los sistemas de Apple. Esto, sospecho, disuadirá a muchos sitios con presupuesto limitado, ya que no es un registro gratuito o de bajo costo.

Creo que @sau226 parece sugerir que la falta de correo electrónico/nombre devuelto, de hecho, no es un impedimento.

@orenwolf Esto (la falta de correo electrónico/nombre devuelto en los siguientes inicios de sesión) no pareció ser un problema. Creo que pude cerrar la ventana de registro y reanudar el proceso con los datos correctos. Como mencioné antes, pude iniciar sesión con Apple inmediatamente después sin ningún problema.

El único problema que enfrenté fue el error CSRF, a menos que se desactivara la configuración del sitio que mencioné anteriormente. Un problema potencial es la falta de un campo para el nombre en el formulario de inicio de sesión y que el nombre de usuario sea lo que aparece antes del símbolo @ en el correo electrónico (sin embargo, si me preguntas, estos problemas potenciales o no son un problema o pueden ser solucionados fácilmente por el usuario).

Además de los comentarios de David anteriores, encontré un tema relacionado en el sitio de soporte para desarrolladores de Apple que recibió una respuesta oficial que confirma el problema:

Respuesta oficial:

Hola aslkdjalksdjasdasd,
Este comportamiento es correcto; la información del usuario solo se envía en el ASAuthorizationAppleIDCredential durante el registro inicial del usuario. Los siguientes inicios de sesión en tu aplicación mediante “Iniciar sesión con Apple” con la misma cuenta no comparten información del usuario y solo devolverán un identificador de usuario en el ASAuthorizationAppleIDCredential. Se recomienda almacenar de forma segura el ASAuthorizationAppleIDCredential inicial que contiene la información del usuario hasta que puedas validar que se ha creado una cuenta correctamente en tu servidor.
Patrick

Como comenta un desarrollador:

Entonces, espera… si por alguna razón la primera redirección desde Apple se pierde por una de las muchas razones muy comunes, habremos perdido permanentemente a ese usuario, ya que no hay otra forma de obtener su información. ¿No existe ninguna otra manera de obtener esta información?

y otro:

O si algo sale mal aguas abajo, tendríamos a clientes quejándose y el soporte les diría que vayan al sitio web de AppleID para revocar el permiso, para que puedan registrarse correctamente nuevamente. Creo que esto será una mala experiencia y hará que la gente no use este mecanismo de inicio de sesión si empiezan a tener este tipo de problemas.

Por lo tanto, no creo que sea seguro utilizar esto en producción, lamentablemente. Esto sería una pesadilla para el soporte.

Sugiero que dejemos esto en espera hasta que Apple se dé cuenta del problema que han creado: en su intento de mejorar la seguridad, parece que han comprometido excesivamente la robustez.

Qué decepción.

Apple ha actualizado su página para desarrolladores de “Iniciar sesión con Apple” para incluir más información sobre la recopilación de datos, la gestión de datos, etc.

He abierto una solicitud de extracción para actualizar la gema omniauth-apple a la versión más reciente, la cual incluye este commit que parece poder resolver el problema de no recibir el correo electrónico del usuario en cada inicio de sesión.

Para probarlo, seguí la publicación recomendada en el blog para configurar las credenciales, pero hay dos cosas que aún no he logrado averiguar:

• ¿Cuál es la ruta de la redirección de la URL de retorno necesaria para configurar el ID de servicio con Apple?
• ¿Cómo obtengo el “archivo de verificación txt”, o acaso no es necesario? Al buscar, encontré menciones de que este se podía descargar desde Apple como parte de la configuración de comunicación de dominio/correo electrónico, pero parece que ya no es así:
  
  

  image1092×170 10.1 KB

Gracias.

Normalmente, se envía una PR después de haber probado algo con éxito

Por favor, confirma cuando lo hayas hecho.

Aunque parece algo obvio, estaría más animado si tuviéramos una declaración de Apple confirmando que ahora envían un correo electrónico cada vez. Cambiar la versión del gem no resolverá eso si Apple no ha abordado el problema central.

Revisaré mi configuración cuando vuelva a suscribirme como Desarrollador de Apple, algo que aún no he hecho… (este asunto fue un poco desalentador, la verdad)

@David

He intentado actualizar nuestro fork del plugin para usar la última versión de omniauth-apple. (Tenga en cuenta que se requieren algunos otros cambios, no solo actualizar el número de versión).

tl;dr: sigue sin funcionar

Logré hacerlo funcionar con un parche en mi entorno de pruebas, pero aún presenta varios problemas:

1. Apple utiliza una solicitud POST en la devolución de llamada. Esto no es común en las implementaciones de OAuth porque significa que las cookies con samesite=Lax no se enviarán con la solicitud. Esto implica que Discourse no puede leer las cookies de sesión durante la devolución de llamada y, por lo tanto, lanza un error CSRF.

   La solución INSEGURO es desactivar esta medida de seguridad cambiando las cookies de Discourse a samesite=None.

2. El uso de una solicitud POST sin un token CSRF también activa otra medida de seguridad en el núcleo.

   La solución INSEGURO es eliminar esta línea.

3. Recibía un error 403 de Apple cuando la gem de omniauth obtenía los JWKs. Sospecho que el encabezado Accept: no se está configurando correctamente, pero aún no lo he verificado.

   La solución INSEGURO fue codificar las claves de forma manual.

Después de todo eso, finalmente pude iniciar sesión con Apple. Puede probarlo en https://sandbox.dtaylor.uk (lo dejaré funcionando durante unos días, pero por favor no introduzca información sensible allí, ya que es INSEGURO).

Y luego… los correos electrónicos y nombres solo se incluyen en la primera autenticación. Puede probarlo: inicie sesión con Apple, cancele la creación de la cuenta y luego intente nuevamente. El segundo intento no incluirá sus datos.

Así que, suponiendo que Apple no vaya a cambiar nada pronto… ¿cómo podríamos hacer que esto funcione?

Para (1) y (2), creo que podríamos convertir la solicitud POST de Apple en una GET sin comprometer la seguridad. Cuando recibimos una POST en la devolución de llamada, renderizamos un script de JavaScript que establece window.location='/auth/apple/callback?code=...&state=...'. A partir de ahí, funcionaría exactamente como cualquier otro proveedor. Sin embargo, creo que interceptar la POST requeriría algunos cambios en la API central.

Para (3), creo que probablemente se podría solucionar con un poco de trabajo en la gem de omniauth.

Pero seguimos atascados sin obtener el nombre y el correo electrónico, así que no estoy seguro de si vale la pena solucionar estos otros problemas

¡Gracias por intentarlo de nuevo y por tu análisis! ¿Quizás presentar un incidente de soporte técnico a Apple podría arrojar luz sobre los problemas pendientes? Por mi experiencia, es más probable que allí te proporcionen posibles soluciones o alternativas que en los foros de desarrolladores de Apple.