如果你也被 security 坑过 - 授权弹窗
Security 是 Keychain 对应的 command line tool,所有 Keychain 的操作,都能通过 man security 找到。当访问一些命令的时候,可能会需要用户授权,那么就会有一个 UI 的弹窗出来,这对 CI 的机器来说很致命,所以来讨论下如何避免。
环境信息
macOS 10.13.1
钥匙串弹窗应该是非常常见了,第一次跑 Xcode,就会有一个授权的弹窗,输入密码,然后选择 Always allow 以后就不会再输入了。
这个 UI 的操作流程是:
- Xcode 需要访问 private key 的
codesign命令 - 钥匙串发现当前 private key 未给 Xcode 授权,所以弹窗请求授权
- 用户授权,并始终允许访问
- 之后 Xcode 访问,钥匙串鉴权通过,不再弹窗请求。
所以想要跳过弹窗,关键点在于将 Xcode 添加到 private key 的访问权限中。
set-key-partition-list
在 macOS 10.12.5 之后,提供了 security set-key-partition-list 命令,用于设置 key 到 “partition list” 中。作为 ACL( Access Control Lists )的补充,根据应用签名,对访问进行权限控制。
关于 set-key-partition-list 参数,可以
man security
进行查看)。
security set-key-partition-list -S apple-tool:,apple: -s -k $PASSWORD ~/Library/Keychains/login.keychain-db
解释一下其中几个参数:
-
-S:提供的访问权限,多个 key 用逗号分隔。苹果的工具可以用apple-tool:,apple:,如codesign就可以设置这两个 key。 -
-s:指定用于 codesign 的 private key。 -
-k:修改 partition list 需要提供钥匙串密码。
所以以上的命令作用为:给 login.keychain 中用于 codesign 的 private key,写入苹果产品的权限。
注意: set-key-partition-lis 对 key 的操作是重写,不是追加。
添加三方应用到 Partition List
如果需要给三方应用权限,可以直接指明 TEAM ID。获取方式:
- 找到三方应用的二进制路径,比如 QQ 的: /Applications/QQ.app/Contents/MacOS/QQ ;
- 执行:
/usr/bin/codesign -d --entitlements :- /Applications/QQ.app/Contents/MacOS/QQ可以找到 application-groups; - 所以,加入腾讯的权限为:
-S apple-tool:,apple:,teamid:FN2V63AD2J。
查看 Partition List
查看当前 private key 的 Partition list, security 没有提供单独的操作,而是直接输出整个钥匙串内容:
security dump-keychain -a ~/Library/Keychains/login.keychain-db
正文到此结束
热门推荐
相关文章
近期评论
-
你这基本没有更新呀,最近文章显示还是2019年的文章。不符合要求哈
-
关键词:慕云博客 链接:https://www.lilun.me 描述:分享原创文字的个人博客
-
-
-
可以提供一下源码吗
-
不是商业站,鸡娃学习笔记
-
-
-
-
听他们说很厉害的样子
Loading...
![[HBLOG]公众号](http://www.liuhaihua.cn/img/qrcode_gzh.jpg)
