【发布时间】:2017-03-31 00:15:20
【问题描述】:
我们有一个启动守护程序,它(出于各种原因必然)以 root 身份运行,并通过网络与服务器组件通信。它需要通过服务进行身份验证,因此当它首次获取密码时,我们将其保存到系统钥匙串中。在随后的启动中,想法是从钥匙串中检索密码并使用它来验证网络服务。
这一直运行良好,但在 macOS 10.12 上,现有代码停止运行,我们完全不知道如何解决这个问题。归结为:
无论我们是保存新密码还是检索旧密码,我们都使用以下方式获取对系统钥匙串的引用:
SecKeychainCopyDomainDefault(kSecPreferencesDomainSystem, &system_keychain);
我们还禁用了用户交互,尽管我们希望它已经在守护进程的上下文中关闭。
SecKeychainSetUserInteractionAllowed(false);
将新密码保存到钥匙串时,我们使用
OSStatus status = SecKeychainAddInternetPassword(
system_keychain,
urlLength, server_base_url,
0, NULL,
usernameLength, username,
0, NULL,
0,
kSecProtocolTypeAny, kSecAuthenticationTypeAny,
passwordLength, password,
NULL);
这很有效。报成功,可以在Keychain Access.app的“system”keychain中看到item了。
在我们的守护进程的后续运行中检索它是通过以下行完成的:
status = SecKeychainFindInternetPassword(
system_keychain,
urlLength, url,
0, NULL,
usernameLength, username,
0, NULL,
0,
kSecProtocolTypeAny, kSecAuthenticationTypeAny,
&passwordLength, &password_data,
NULL);
不幸的是,由于我们不清楚的原因,这已开始返回 errSecAuthFailed。
我们检查了一些额外的细节和我们尝试过的事情,但无济于事:
- 守护程序二进制文件使用 Developer Id 证书进行签名。
- 守护程序二进制文件包含一个嵌入的 Info.plist 部分,其中包含捆绑 ID 和版本。
- 我可以在 Keychain Access.app 中密码项的“访问控制”选项卡的“始终允许这些应用程序访问”列表中看到守护程序二进制文件。
- 如果我在钥匙串访问中手动切换到“允许所有应用程序访问此项目”,它就可以工作。然而,这在某种程度上违背了将密码保存在钥匙串中的意义。
- 我们尝试过使用
SecKeychainAddInternetPassword的参数,但这似乎没有任何区别。 - 我们已尝试使用
SecKeychainUnlock()显式解锁钥匙串,但正如文档所示,这似乎是多余的。 - 删除
Keychain Access.app中的项目会导致SecKeychainFindInternetPassword()产生errSecItemNotFound,正如您所期望的。所以它肯定可以找到保存的项目,只是不允许读取它。
钥匙串文档不是很容易阅读,而且有些重复。 (“为了做 Y,你需要做 Y”,而没有提到你为什么想做 Y。)不过,我认为我已经完成并理解了其中的大部分内容。没有详细介绍我们特定设置的各个方面(从守护程序访问),但似乎很清楚,访问以前由同一应用程序保存的项目不需要任何特殊授权或身份验证。这与我们看到的行为直接矛盾。
有什么想法吗?
【问题讨论】:
标签: macos keychain launchd launch-daemon security-framework