如果你也被 security 坑过 - 授权弹窗
Security 是 Keychain 对应的 command line tool,所有 Keychain 的操作,都能通过 man security
找到。当访问一些命令的时候,可能会需要用户授权,那么就会有一个 UI 的弹窗出来,这对 CI 的机器来说很致命,所以来讨论下如何避免。
环境信息
macOS 10.13.1
钥匙串弹窗应该是非常常见了,第一次跑 Xcode,就会有一个授权的弹窗,输入密码,然后选择 Always allow 以后就不会再输入了。
这个 UI 的操作流程是:
- Xcode 需要访问 private key 的
codesign
命令 - 钥匙串发现当前 private key 未给 Xcode 授权,所以弹窗请求授权
- 用户授权,并始终允许访问
- 之后 Xcode 访问,钥匙串鉴权通过,不再弹窗请求。
所以想要跳过弹窗,关键点在于将 Xcode 添加到 private key 的访问权限中。
set-key-partition-list
在 macOS 10.12.5 之后,提供了 security set-key-partition-list
命令,用于设置 key 到 “partition list” 中。作为 ACL(Access Control Lists)的补充,根据应用签名,对访问进行权限控制。
关于 set-key-partition-list
参数,可以查看文档(本来想贴一个文档链接的,结果发现文档很久没更新了,可以通过 man security
进行查看)。
security set-key-partition-list -S apple-tool:,apple: -s -k $PASSWORD ~/Library/Keychains/login.keychain-db |
解释一下其中几个参数:
-S
:提供的访问权限,多个 key 用逗号分隔。苹果的工具可以用apple-tool:,apple:
,如codesign
就可以设置这两个 key。-s
:指定用于 codesign 的 private key。-k
:修改 partition list 需要提供钥匙串密码。
所以以上的命令作用为:给 login.keychain 中用于 codesign 的 private key,写入苹果产品的权限。
注意:
set-key-partition-lis
对 key 的操作是重写,不是追加。
添加三方应用到 Partition List
如果需要给三方应用权限,可以直接指明 TEAM ID。获取方式:
- 找到三方应用的二进制路径,比如 QQ 的:/Applications/QQ.app/Contents/MacOS/QQ;
- 执行:
/usr/bin/codesign -d --entitlements :- /Applications/QQ.app/Contents/MacOS/QQ
可以找到 application-groups; - 所以,加入腾讯的权限为:
-S apple-tool:,apple:,teamid:FN2V63AD2J
。
查看 Partition List
查看当前 private key 的 Partition list,security
没有提供单独的操作,而是直接输出整个钥匙串内容:
security dump-keychain -a ~/Library/Keychains/login.keychain-db |
最后
不同钥匙串中的 private key 也是需要单独处理的,比如,login.keychain 和 custom.keychain 当中都有相同证书的 private key,他们之间也是独立的,对 login.keychain 添加权限以后,custom.keychain 其实并没有权限。
相关链接
- Keychain prompts for permission to use private key regardless of access control settings
- Keychain ignores access control settings and UI-prompts for permission
- Scripting the macOS Keychain - Partition IDs
- Keychain Services Programming Guide - Access Control Lists
- Keychain Services Programming Guide - Modifying the Access List of an Existing Keychain Item
- cmdbuild.sh