Electron-Builder 中为 macOS 子进程配置独立权限的解决方案

在基于 Electron 开发跨平台应用时，开发者经常会遇到需要集成原生模块或子进程的情况。本文针对 Electron-Builder 项目中一个典型场景展开讨论：当主 Electron 应用需要调用一个 Go 编写的子进程时，如何为这个子进程单独配置 macOS 特有的权限（entitlements），而不影响主应用的权限配置。

问题背景

在 macOS 系统中，某些敏感功能需要应用声明特定的权限（entitlements）才能使用。例如，com.apple.developer.endpoint-security.client 权限就是端点安全相关功能所需的特殊权限。当 Electron 应用需要调用一个具有特殊权限需求的 Go 子进程时，直接为整个 Electron 应用配置这些权限可能会带来不必要的安全风险。

技术挑战

Electron-Builder 默认会将相同的权限配置应用到整个应用包（包括所有二进制文件）。这导致以下技术难点：

1. 主 Electron 进程和 Go 子进程需要不同的权限配置
2. 需要确保权限配置只应用于特定二进制文件
3. 需要保持签名过程的完整性

解决方案

Electron-Builder 从 24.12.0 版本开始引入了 sign 钩子功能，允许开发者为不同的文件指定不同的签名选项。这是解决上述问题的关键技术点。

实现步骤

1. 创建自定义签名脚本：在项目中创建一个 JavaScript 文件（如 customSign.js）

2. 实现文件区分逻辑：在脚本中检查文件路径，为特定文件返回不同的权限配置

3. 配置 Electron-Builder：在配置文件中指定使用自定义签名脚本

示例代码

以下是经过验证的实现方案：

const path = require('path');
const { sign } = require('app-builder-lib/out/codeSign/macCodeSign');

module.exports = async function signHook(config, packager) {
  const originalOptionsForFile = config.optionsForFile;
  
  config.optionsForFile = (filePath) => {
    if (filePath.endsWith('/your-go-binary')) {
      return {
        entitlements: path.resolve('./path/to/special.entitlements'),
        hardenedRuntime: true
      };
    }
    return originalOptionsForFile ? originalOptionsForFile(filePath) : undefined;
  };

  await sign(config, packager);
};

配置说明

在 electron-builder.yml 中配置：

mac:
  sign: ./customSign.js
  hardenedRuntime: true
  entitlements: ./path/to/default.entitlements

注意事项

1. 权限文件路径：确保权限文件路径正确，建议使用绝对路径或相对于项目根目录的路径

2. 签名顺序：Electron-Builder 会先签名主应用，然后处理额外文件

3. 测试验证：使用 codesign -dv --entitlements :- <path-to-binary> 命令验证权限是否应用正确

4. 版本兼容性：此方案需要 Electron-Builder 24.12.0 或更高版本

最佳实践

1. 最小权限原则：只为必要的二进制文件配置最小必需的权限

2. 权限文件管理：将不同权限需求的文件分类存放，便于管理

3. 文档记录：详细记录每个权限的用途和配置原因

4. 自动化测试：在 CI/CD 流程中加入权限验证步骤

通过这种方案，开发者可以灵活地为 Electron 应用中的不同组件配置适当的 macOS 权限，既满足了功能需求，又遵循了安全最佳实践。