WaxSealCore 1.0 发布, OS X 下面向对象的 Keychain 编程接口
NSTongG · 2015-03-02 08:00:58 +08:00 · 1514 次点击这是一个创建于 3403 天前的主题,其中的信息可能已经有所发展或是发生改变。
什么是 WaxSealCore
WaxSealCore 是一个受 Cocoa 设计影响的 OOP 框架,用 Objective-C 编写。其对 OS X Keychain Services API 进行了面向对象封装,使得 Mac 开发者更容易地将 Keychain 机制融入到自己的 app 中。相对于 Apple 官方的 Keychain Services API 来说:
- 完全面向对象
- API 风格和 Cocoa 非常接近,熟练的 Mac 开发者可以迅速上手
- 支持基于 Unicode 字符搜索密码项
- 详尽的文档支持
什么是 Keychain Services
OS X 和 iOS 开发者对 “钥匙串 API”(Keychain Services API,为消歧义,下文都使用英文名称)应该都有所耳闻,计算机用户总是必须管理许多用户 ID 和密码,比如在浏览器中的 Twitter,Facebook,OSChina.net 等网站,以及 Evernote,Skype,Telegram 等桌面和移动 app 的登录密码。这些服务在你能够使用之前都需要通过密码来验证使用者的身份。因为密码繁杂,所以很多用户总是通过起一个非常简单非常容易记住的密码,并且为多个服务使用相同的密码来应付这件事(甚至将密码写在随手能够找到的小纸条上的也大有人在)。这些做法都大大削弱了密码的安全性。
所以在 OS X 和 iOS 中有一个被称为 Keychain 的机制(平时你可以通过 OS X 自带的 Keychain Access 应用访问系统中的 Keychain),Keychain 是一种具有特殊格式的文件类型(.keychain 文件),其是一个安全的加密容器,其本身可以使用一个主密码(master password)进行锁定,除了密码的拥有人,没有人能够访问这个加密容器中的任何内容。OS X 和 iOS 用户在访问一个新的网站时,就会被询问是否要保存网站的密码,以便下次自动登录,当用户点击“保存”时,用户的密码就是被保存到这个加密容器内,Keychain 会对你输入的密码进行高强度的加密,然后存储在其中,下次访问时通过解密密码既可以实现自动登录。
Keychain Services 是 Keychain 机制的编程接口。OS X/iOS 开发者在开发应用时,只需要调用这套中的函数,就可以将自己的应用中用到的密码存储到 OS X/iOS 的 Keychain 中,下次需要使用密码时可以直接从 Keychain 中进行获取而不必每次都让用户重新输入。除此之外,对于 Mac 开发者来说,你的应用还可以和其他应用共享同一个服务的密码。Keychain Services 是一个很方便的 API,它无需开发者自己实现一套密码管理机制。
事实上,OS X 版的 Firefox 和 Thunderbird 就有一个广为诟病的问题,就是它们都使用自己实现的密码管理器而不使用 Keychain,这有两个弊端:
- OS X 用户习惯使用 Keychain 并建立了信任。如果提供自己的密码管理器,那么用户对它的信任度跟对你的信任度是一样的,一般来说不如他们对 Apple 公司的信任度。
- 用户不能在你的应用程序之外访问密码。例如,Mac 版的 Chrome,Safari 和 Opera 就都能够共享 Web 的登录资料,因为它们都使用 Keychain,并且用户可以用 Keychain Access 应用来修改他们看到的密码。
-- David Chisnall, Cocoa Programming Developer's Handbook
上面只是简单介绍了一下 Keychain 机制和它的 API,它们的功能远不止存取密码这么简单,只不过这些功能是最常用到的。Keychain Services 这套 API 很强大,但是缺点就是,它的接口是纯 C 的,丑陋,复杂,并且因为它是基于 Core Foundation 的,所以需要你手动管理内存(不像 Cocoa/Cocoa-Touch 可以利用引用计数和自动释放池),所以极易产生 bug。再加上 Keychain Services 的文档很古老,有很多错误都会无故地增大学习曲线,所以,最终,我实在受够它了,懒惰是程序员得美德,于是我找了一些开源的 Objective-C wrapper,这些 wrapper 虽然简化了使用,但是功能上要么太简陋(只能存取 generic password 和 Internet password,而没有实现 Access Control List 这类强大的功能),要么年代久远。所以决定自己写一个全特性的封装,而不仅是限于存取密码这种简单的功能。
WaxSealCore 和 Keychain Services 的比较
用两个功能来比较一下 WaxSealCore 和纯 C 的 Keychain Services。
- 使用一个显示指定的密码常见一个空的 Keychain
使用 Keychain Services 的纯 C 接口实现:
OSStatus resultCode = errSecSuccess;
SecKeychainRef secEmptyKeychain = NULL;
NSURL* URL = [ [ [ NSBundle mainBundle ] bundleURL ] URLByAppendingPathComponent: @"EmptyKeychainForWiki.keychain" ];
char* passphrase = "waxsealcore";
// Create an empty keychain with given passphrase
resultCode = SecKeychainCreate( URL.path.UTF8String
, ( UInt32 )strlen( passphrase )
, ( void const* )passphrase
, ( Boolean )NO
, NULL
, &secEmptyKeychain
);
NSAssert( resultCode == errSecSuccess, @"Failed to create new empty keychain" );
resultCode = SecKeychainDelete( secEmptyKeychain );
NSAssert( resultCode == errSecSuccess, @"Failed to delete the given keychain" );
if ( secEmptyKeychain )
// Keychain Services is based on Core Foundation,
// you have to manage the memory manually
CFRelease( secEmptyKeychain );
使用 WaxSealCore 实现:
NSError* error = nil;
// Create an empty keychain with given passphrase
WSCKeychain* emptyKeychain = [ [ WSCKeychainManager defaultManager ]
createKeychainWithURL: [ [ [ NSBundle mainBundle ] bundleURL ] URLByAppendingPathComponent: @"EmptyKeychainForWiki.keychain" ]
passphrase: @"waxsealcore"
becomesDefault: NO
error: &error ];
// You have no need for managing the memory manually,
// emptyKeychain will be released automatically.
- 查找下面截图中的这个密码项,并且获取它的账户名,密码和注释信息(注释信息使用了 Emoji 表情,Keychain Services 无法查找)*
使用 Keychain Services 的纯 C 接口实现:
OSStatus resultCode = errSecSuccess;
// Attributes that will be used for constructing search criteria
char* label = "secure.imdb.com";
SecProtocolType* ptrProtocolType = malloc( sizeof( SecProtocolType ) );
*ptrProtocolType = kSecProtocolTypeHTTPS;
SecKeychainAttribute attrs[] = { { kSecLabelItemAttr, ( UInt32 )strlen( label ), ( void* )label }
, { kSecProtocolItemAttr, ( UInt32 )sizeof( SecProtocolType ), ( void* )ptrProtocolType }
};
SecKeychainAttributeList attrsList = { sizeof( attrs ) / sizeof( attrs[ 0 ] ), attrs };
// Creates a search object matching the given list of search criteria.
SecKeychainSearchRef searchObject = NULL;
if ( ( resultCode = SecKeychainSearchCreateFromAttributes( NULL
, kSecInternetPasswordItemClass
, &attrsList
, &searchObject
) ) == errSecSuccess )
{
SecKeychainItemRef matchedItem = NULL;
// Finds the next keychain item matching the given search criteria.
while ( ( resultCode = SecKeychainSearchCopyNext( searchObject, &matchedItem ) ) != errSecItemNotFound )
{
SecKeychainAttribute theAttributes[] = { { kSecAccountItemAttr, 0, NULL }
, { kSecCommentItemAttr, 0, NULL }
};
SecKeychainAttributeList theAttrList = { sizeof( theAttributes ) / sizeof( theAttributes[ 0 ] ), theAttributes };
UInt32 lengthOfPassphrase = 0;
char* passphraseBuffer = NULL;
if ( ( resultCode = SecKeychainItemCopyContent( matchedItem
, NULL
, &theAttrList
, &lengthOfPassphrase
, ( void** )&passphraseBuffer
) ) == errSecSuccess )
{
NSLog( @"\n==============================\n" );
NSLog( @"Passphrase: %@", [ [ [ NSString alloc ] initWithBytes: passphraseBuffer length: lengthOfPassphrase encoding: NSUTF8StringEncoding ] autorelease ] );
for ( int _Index = 0; _Index < theAttrList.count; _Index++ )
{
SecKeychainAttribute attrStruct = theAttrList.attr[ _Index ];
NSString* attributeValue = [ [ [ NSString alloc ] initWithBytes: attrStruct.data length: attrStruct.length encoding: NSUTF8StringEncoding ] autorelease ];
if ( attrStruct.tag == kSecAccountItemAttr )
NSLog( @"IMDb User Name: %@", attributeValue );
else if ( attrStruct.tag == kSecCommentItemAttr )
NSLog( @"Comment: %@", attributeValue );
}
NSLog( @"\n==============================\n" );
}
SecKeychainItemFreeContent( &theAttrList, passphraseBuffer );
CFRelease( matchedItem );
}
}
if ( ptrProtocolType )
free( ptrProtocolType );
if ( searchObject )
CFRelease( searchObject );
使用 WaxSealCore 实现:
只需一个方法的调用即可实现:
NSError* error = nil;
WSCPassphraseItem* IMDbLoginPassphrase = ( WSCPassphraseItem* )[ [ WSCKeychain login ]
findFirstKeychainItemSatisfyingSearchCriteria: @{ WSCKeychainItemAttributeLabel : @"secure.imdb.com"
, WSCKeychainItemAttributeProtocol : WSCInternetProtocolCocoaValue( WSCInternetProtocolTypeHTTPS )
, WSCKeychainItemAttributeComment : @"👺👹👺👹"
}
itemClass: WSCKeychainItemClassInternetPassphraseItem
error: &error ];
// WaxSealCore supports Unicode-based search, so you can use Emoji or Chinese in your search criteria.
// One step. So easy, is not it?
打印账户名,密码,和注释,并且更改注释内容:
if ( IMDbLoginPassphrase )
{
NSLog( @"==============================" );
// Use the `account` property
NSLog( @"IMDb User Name: %@", IMDbLoginPassphrase.account );
// Use the `passphrase` property
NSLog( @"Passphrase: %@", [ [ [ NSString alloc ] initWithData: IMDbLoginPassphrase.passphrase encoding: NSUTF8StringEncoding ] autorelease ] );
// Use the `comment` property
NSLog( @"Comment: %@", IMDbLoginPassphrase.comment );
NSLog( @"==============================" );
// -setComment:
IMDbLoginPassphrase.comment = @"👿👿👿👿👿👿";
}
else
NSLog( @"I'm so sorry!" );
简单地进行批量搜索:
// Find all the Internet passphrases that met the given search criteria
NSArray* passphrases = [ [ WSCKeychain login ]
// Batch search
findAllKeychainItemsSatisfyingSearchCriteria: @{ WSCKeychainItemAttributeLabel : @"secure.imdb.com"
, WSCKeychainItemAttributeProtocol : WSCInternetProtocolCocoaValue( WSCInternetProtocolTypeHTTPS )
, WSCKeychainItemAttributeComment : @"👿👿👿👿👿👿"
}
itemClass: WSCKeychainItemClassInternetPassphraseItem
error: &error ];
if ( passphrases.count != 0 )
{
for ( WSCPassphraseItem* _Passphrase in passphrases )
{
NSLog( @"==============================" );
NSLog( @"IMDb User Name: %@", IMDbLoginPassphrase.account );
NSLog( @"Passphrase: %@", [ [ [ NSString alloc ] initWithData: IMDbLoginPassphrase.passphrase encoding: NSUTF8StringEncoding ] autorelease ] );
NSLog( @"Comment: %@", IMDbLoginPassphrase.comment );
NSLog( @"==============================" );
_Passphrase.comment = @"👺👹👺👹";
}
}
else
NSLog( @"I'm so sorry!" );
上面的演示可以看到,使用 Keychain Services 费很大力气需要完成的工作,用 WaxSealCore 寥寥几行代码即可做到。除此之外,WaxSealCore 还简化了 Keychain 中的 Access Control List 机制,你可以更容易地使用 Keychain 更强大的功能。更多 API 的使用方式,可以参考我正在维护的一个 Wiki,欢迎任何人来编辑这个 wiki 页面。
WaxSealCore 是自由软件,在 MIT 许可证下发布,你可以在这里获取源码,自由修改或重新分发源代码。如果不想自己编译代码,可以在这里获取到我用我的开发者证书签名的二进制框架包。
Next Step
Keychain Services 可不仅仅能够存取普通密码,同时还能够存取数字证书(digital certificates),私钥(private keys)等私密数据,WaxSealCore 下一个版本就要提供对跟 Keychain Services 同处于 Security.framework 框架中的 Certificate, Key, and Trust Services API 的封装,将融合对数字证书,对称密钥和非对称密钥的存取与操作,敬请期待。
获取 WaxSealCore
联系作者
如果你有任何问题:
- 给我发邮件 [email protected]
- 在 Twitter 上 DM 我: @NSTongG
- 如果你使用 S/MIME 加密邮件,可以在这里获取我的 S/MIME 证书以及和其相关联的中间证书然后给我发送加密邮件
- 如果你使用 GnuPG,可以给我发送 PGP 加密邮件,我的 GnuPG 公钥是 0x5604FA90,你可以在公钥服务器上 retrieve
第 1 条附言 · 2015-03-02 09:35:54 +08:00
帖子里的代码居然自动换行,需要详细读代码的可以直接到这里看:http://bit.ly/1aIkvef,用的是 Gist 贴的代码,排版比上面的帖子更易读。
目前尚无回复
Select Language