如果你也被 security 坑过 - 授权弹窗

Security 是 Keychain 对应的 command line tool,所有 Keychain 的操作,都能通过 man security 找到。当访问一些命令的时候,可能会需要用户授权,那么就会有一个 UI 的弹窗出来,这对 CI 的机器来说很致命,所以来讨论下如何避免。

环境信息

macOS 10.13.1


钥匙串弹窗应该是非常常见了,第一次跑 Xcode,就会有一个授权的弹窗,输入密码,然后选择 Always allow 以后就不会再输入了。

这个 UI 的操作流程是:

  1. Xcode 需要访问 private key 的 codesign 命令
  2. 钥匙串发现当前 private key 未给 Xcode 授权,所以弹窗请求授权
  3. 用户授权,并始终允许访问
  4. 之后 Xcode 访问,钥匙串鉴权通过,不再弹窗请求。

所以想要跳过弹窗,关键点在于将 Xcode 添加到 private key 的访问权限中。

set-key-partition-list

在 macOS 10.12.5 之后,提供了 security set-key-partition-list 命令,用于设置 key 到 “partition list” 中。作为 ACL(Access Control Lists)的补充,根据应用签名,对访问进行权限控制。

关于 set-key-partition-list 参数,可以查看文档(本来想贴一个文档链接的,结果发现文档很久没更新了,可以通过 man security 进行查看)。

1
security set-key-partition-list -S apple-tool:,apple: -s -k $PASSWORD ~/Library/Keychains/login.keychain-db

解释一下其中几个参数:

  • -S:提供的访问权限,多个 key 用逗号分隔。苹果的工具可以用 apple-tool:,apple:,如 codesign 就可以设置这两个 key。
  • -s:指定用于 codesign 的 private key。
  • -k:修改 partition list 需要提供钥匙串密码。

所以以上的命令作用为:给 login.keychain 中用于 codesign 的 private key,写入苹果产品的权限。

注意:set-key-partition-lis 对 key 的操作是重写,不是追加。

添加三方应用到 Partition List

如果需要给三方应用权限,可以直接指明 TEAM ID。获取方式:

  1. 找到三方应用的二进制路径,比如 QQ 的:/Applications/QQ.app/Contents/MacOS/QQ
  2. 执行:/usr/bin/codesign -d --entitlements :- /Applications/QQ.app/Contents/MacOS/QQ 可以找到 application-groups;
  3. 所以,加入腾讯的权限为:-S apple-tool:,apple:,teamid:FN2V63AD2J

查看 Partition List

查看当前 private key 的 Partition list,security 没有提供单独的操作,而是直接输出整个钥匙串内容:

1
security dump-keychain -a ~/Library/Keychains/login.keychain-db

最后

不同钥匙串中的 private key 也是需要单独处理的,比如,login.keychain 和 custom.keychain 当中都有相同证书的 private key,他们之间也是独立的,对 login.keychain 添加权限以后,custom.keychain 其实并没有权限。

相关链接