尝试使用codesign命令进行沙盒处理时出错

Question

尝试使用codesign命令进行沙盒处理时出错

macossandboxcodesigncode-signing-entitlements

5

我正在尝试使用codesign命令来对我的OS X应用程序进行沙盒处理（这是一个常见的Lisp应用程序，不使用Xcode）。我创建了一个非常基本的权限清单（entitlements plist），看起来像这样：

<?xml version="1.0" encoding="utf-8"?>
<plist version="1.0">
    <dict>
        <key>com.apple.security.app-sandbox</key>
        <true/>
    </dict>
</plist>

我正在调用 codesign 命令：

codesign -s - -f --entitlements "/path/to/my/app/MyApp.app/Contents/entitlements.plist" "/path/to/my/app/MyApp.app/"

但是这个命令返回以下错误：

/path/to/my/app/MyApp.app/Contents/entitlements.plist: cannot read entitlement data

这个错误是不是意味着我使用了错误的命令？如果是，那么命令有什么问题？

- Mike2012

你是如何创建plist文件的？是手动使用文本编辑器还是使用plist编辑器.app？应用程序生成的那些是二进制格式，而不是直接的XML。 - Warren Burton

是的，我已经尝试过使用文本编辑器和plist编辑器。您建议我如何创建plist？ - Mike2012

2个回答

1

Xcode生成的plist是二进制格式，对于一个相当标准的受限沙盒设置，它看起来像这样：

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>com.apple.developer.ubiquity-container-identifiers</key>
    <array>
        <string>$(TeamIdentifierPrefix)com.company.appanme</string>
    </array>
    <key>com.apple.developer.ubiquity-kvstore-identifier</key>
    <string>$(TeamIdentifierPrefix)com.company.appname</string>
    <key>com.apple.security.app-sandbox</key>
    <true/>
    <key>com.apple.security.assets.movies.read-only</key>
    <true/>
    <key>com.apple.security.assets.music.read-only</key>
    <true/>
    <key>com.apple.security.assets.pictures.read-only</key>
    <true/>
    <key>com.apple.security.files.user-selected.read-write</key>
    <true/>
    <key>com.apple.security.network.client</key>
    <true/>
    <key>com.apple.security.print</key>
    <true/>
    <key>com.apple.security.files.bookmarks.document-scope</key>
    <true/>
</dict>
</plist>

我能建议的是使用Xcode构建plist，并手动删除不需要的键。在你的情况下...

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>com.apple.security.app-sandbox</key>
    <true/>
    <key>com.apple.security.files.user-selected.read-write</key>
    <true/>
    <key>com.apple.security.network.client</key>
    <true/>
</dict>
</plist>

我在想是否签名工具需要 !DOCTYPE 元素，并且编码属性应该大写。我也留下了一些关键字，即使像你说的是一个基本的Lisp应用程序，也可能需要这些关键字，特别是 com.apple.security.files.user-selected.read-write 关键字，它将给您的进程文件访问权限。

- Warren Burton

1

非常感谢，我已经成功地使用XCode创建了二进制授权列表。需要创建一个虚拟的XCode项目来创建这个plist似乎有点傻，但无论如何都能起作用。非常感谢您的帮助！ - Mike2012

2

你说得对，创建 plist 应该没有任何区别，但是在苹果的 playground 中玩耍通常意味着使用他们的工具。 :-( - Warren Burton

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- ReinstateMonica3167040 · Accepted Answer

对于从谷歌搜索中找到此问题的人：

我遇到了一个几乎相同的错误：

~/Desktop/Instagram.xcent: 无法读取授权数据

解决方法是不要在路径中使用~，而是使用/Users/...