Không thể xác minh hàm băm bí mật cho khách hàng trong Amazon Cognito Userpools

Tôi bị kẹt trong quá trình "Nhóm người dùng nhận dạng Amazon Cognito".

Tôi đã thử tất cả các mã có thể để xác thực người dùng trong nhóm người dùng cognito. Nhưng tôi luôn gặp lỗi khi nói "Lỗi: Không thể xác minh hàm băm bí mật cho máy khách 4b ******* fd".

Đây là mã:

AWS.config.region = 'us-east-1'; // Region
AWS.config.credentials = new AWS.CognitoIdentityCredentials({
    IdentityPoolId: 'us-east-1:b64bb629-ec73-4569-91eb-0d950f854f4f'
});

AWSCognito.config.region = 'us-east-1';
AWSCognito.config.credentials = new AWS.CognitoIdentityCredentials({
    IdentityPoolId: 'us-east-1:b6b629-er73-9969-91eb-0dfffff445d'
});

AWSCognito.config.update({accessKeyId: 'AKIAJNYLRONAKTKBXGMWA', secretAccessKey: 'PITHVAS5/UBADLU/dHITesd7ilsBCm'})

var poolData = { 
    UserPoolId : 'us-east-1_l2arPB10',
    ClientId : '4bmsrr65ah3oas5d4sd54st11k'
};
var userPool = new AWSCognito.CognitoIdentityServiceProvider.CognitoUserPool(poolData);

var userData = {
     Username : 'ronakpatel@gmail.com',
     Pool : userPool
};

var cognitoUser = new AWSCognito.CognitoIdentityServiceProvider.CognitoUser(userData);

cognitoUser.confirmRegistration('123456', true,function(err, result) {
if (err) {
    alert(err);
    return;
}
console.log('call result: ' + result);
});

Có vẻ như hiện tại AWS Cognito không xử lý bí mật khách hàng một cách hoàn hảo. Nó sẽ hoạt động trong tương lai gần nhưng hiện tại nó vẫn là phiên bản beta.

Đối với tôi, nó hoạt động tốt đối với một ứng dụng không có bí mật của khách hàng nhưng không thành công cho một ứng dụng có bí mật của khách hàng.

Vì vậy, trong nhóm người dùng của bạn hãy cố gắng tạo một ứng dụng mới mà không tạo ra một bí mật khách hàng. Sau đó sử dụng ứng dụng đó để đăng ký người dùng mới hoặc để xác nhận đăng ký.

Theo Tài liệu: http://docs.aws.amazon.com/cognito/latest/developerguide/setting-up-the-javascript-sdk.html

SDK Javascript không hỗ trợ Ứng dụng với Bí mật khách hàng.

Các hướng dẫn hiện nêu rõ rằng bạn cần bỏ chọn "Tạo bí mật khách hàng" khi tạo ứng dụng cho nhóm người dùng.

Điều này có thể trễ vài năm nhưng chỉ cần bỏ chọn tùy chọn "Tạo bí mật khách hàng" và nó sẽ hoạt động cho các máy khách web của bạn.

Vì mọi người khác đã đăng ngôn ngữ của họ, nên đây là nút (và nó hoạt động trong trình duyệt với browserify-crypto, được sử dụng tự động nếu bạn sử dụng webpack hoặc browserify):

const crypto = require('crypto');

...

crypto.createHmac('SHA256', clientSecret)
  .update(username + clientId)
  .digest('base64')

Tôi gặp vấn đề tương tự trong SDK .net.

Đây là cách tôi giải quyết, trong trường hợp có ai khác cần nó:

public static class CognitoHashCalculator
{
    public static string GetSecretHash(string username, string appClientId, string appSecretKey)
    {
        var dataString = username + appClientId;

        var data = Encoding.UTF8.GetBytes(dataString);
        var key = Encoding.UTF8.GetBytes(appSecretKey);

        return Convert.ToBase64String(HmacSHA256(data, key));
    }

    public static byte[] HmacSHA256(byte[] data, byte[] key)
    {
        using (var shaAlgorithm = new System.Security.Cryptography.HMACSHA256(key))
        {
            var result = shaAlgorithm.ComputeHash(data);
            return result;
        }
    }
}

Đăng ký sau đó trông như thế này:

public class CognitoSignUpController
{
    private readonly IAmazonCognitoIdentityProvider _amazonCognitoIdentityProvider;

    public CognitoSignUpController(IAmazonCognitoIdentityProvider amazonCognitoIdentityProvider)
    {
        _amazonCognitoIdentityProvider = amazonCognitoIdentityProvider;
    }

    public async Task<bool> SignUpAsync(string userName, string password, string email)
    {
        try
        {
            var request = CreateSignUpRequest(userName, password, email);
            var authResp = await _amazonCognitoIdentityProvider.SignUpAsync(request);

            return true;
        }
        catch
        {
            return false;
        }
    }

    private static SignUpRequest CreateSignUpRequest(string userName, string password, string email)
    {
        var clientId = ConfigurationManager.AppSettings["ClientId"];
        var clientSecretId = ConfigurationManager.AppSettings["ClientSecretId"];

        var request = new SignUpRequest
        {
            ClientId = clientId,
            SecretHash = CognitoHashCalculator.GetSecretHash(userName, clientId, clientSecretId),
            Username = userName,
            Password = password,
        };

        request.UserAttributes.Add("email", email);
        return request;
    }
}

Đối với bất kỳ ai quan tâm đến việc sử dụng AWS Lambda để đăng ký người dùng bằng AWS JS SDK, đây là các bước tôi đã làm:

Tạo một hàm lambda khác trong python để tạo khóa:

import hashlib
import hmac
import base64

secretKey = "key"
clientId = "clientid"
digest = hmac.new(secretKey,
                  msg=username + clientId,
                  digestmod=hashlib.sha256
                 ).digest()
signature = base64.b64encode(digest).decode()

Gọi hàm thông qua hàm nodeJS trong AWS. Chữ ký đóng vai trò là hàm băm bí mật cho Cognito

Lưu ý: Câu trả lời dựa nhiều vào câu trả lời của George Campbell trong liên kết sau: Tính toán hàm băm SHA bằng chuỗi + khóa bí mật trong python

Giải pháp cho golang. Có vẻ như điều này nên được thêm vào SDK.

import (
    "crypto/hmac"
    "crypto/sha256"
    "encoding/base64"
)

func SecretHash(username, clientID, clientSecret string) string {
    mac := hmac.New(sha256.New, []byte(clientSecret))
    mac.Write([]byte(username + ClientID))
    return base64.StdEncoding.EncodeToString(mac.Sum(nil))
}

Giải pháp cho NodeJS với SecretHash

Có vẻ ngớ ngẩn khi AWS đã xóa khóa bí mật khỏi SDK vì nó sẽ không bị lộ trong NodeJS.

Tôi đã làm cho nó hoạt động trong NodeJS bằng cách chặn tìm nạp và thêm vào khóa băm bằng câu trả lời của @Simon Buchan .

cognito.js

import { CognitoUserPool, CognitoUserAttribute, CognitoUser } from 'amazon-cognito-identity-js'
import crypto from 'crypto'
import * as fetchIntercept from './fetch-intercept'

const COGNITO_SECRET_HASH_API = [
  'AWSCognitoIdentityProviderService.ConfirmForgotPassword',
  'AWSCognitoIdentityProviderService.ConfirmSignUp',
  'AWSCognitoIdentityProviderService.ForgotPassword',
  'AWSCognitoIdentityProviderService.ResendConfirmationCode',
  'AWSCognitoIdentityProviderService.SignUp',
]

const CLIENT_ID = 'xxx'
const CLIENT_SECRET = 'xxx'
const USER_POOL_ID = 'xxx'

const hashSecret = (clientSecret, username, clientId) => crypto.createHmac('SHA256', clientSecret)
  .update(username + clientId)
  .digest('base64')

fetchIntercept.register({
  request(url, config) {
    const { headers } = config
    if (headers && COGNITO_SECRET_HASH_API.includes(headers['X-Amz-Target'])) {
      const body = JSON.parse(config.body)
      const { ClientId: clientId, Username: username } = body
      // eslint-disable-next-line no-param-reassign
      config.body = JSON.stringify({
        ...body,
        SecretHash: hashSecret(CLIENT_SECRET, username, clientId),
      })
    }
    return [url, config]
  },
})

const userPool = new CognitoUserPool({
  UserPoolId: USER_POOL_ID,
  ClientId: CLIENT_ID,
})

const register = ({ email, password, mobileNumber }) => {
  const dataEmail = { Name: 'email', Value: email }
  const dataPhoneNumber = { Name: 'phone_number', Value: mobileNumber }

  const attributeList = [
    new CognitoUserAttribute(dataEmail),
    new CognitoUserAttribute(dataPhoneNumber),
  ]

  return userPool.signUp(email, password, attributeList, null, (err, result) => {
    if (err) {
      console.log((err.message || JSON.stringify(err)))
      return
    }
    const cognitoUser = result.user
    console.log(`user name is ${cognitoUser.getUsername()}`)
  })
}

export {
  register,
}

fetch-inceptor.js ( Được chia và chỉnh sửa cho NodeJS từ Fork của https://github.com/werk85/fetch-intercept/blob/develop/src/index.js )

let interceptors = []

if (!global.fetch) {
  try {
    // eslint-disable-next-line global-require
    global.fetch = require('node-fetch')
  } catch (err) {
    throw Error('No fetch available. Unable to register fetch-intercept')
  }
}
global.fetch = (function (fetch) {
  return (...args) => interceptor(fetch, ...args)
}(global.fetch))

const interceptor = (fetch, ...args) => {
  const reversedInterceptors = interceptors.reduce((array, _interceptor) => [_interceptor].concat(array), [])
  let promise = Promise.resolve(args)

  // Register request interceptors
  reversedInterceptors.forEach(({ request, requestError }) => {
    if (request || requestError) {
      promise = promise.then(_args => request(..._args), requestError)
    }
  })

  // Register fetch call
  promise = promise.then(_args => fetch(..._args))

  // Register response interceptors
  reversedInterceptors.forEach(({ response, responseError }) => {
    if (response || responseError) {
      promise = promise.then(response, responseError)
    }
  })

  return promise
}

const register = (_interceptor) => {
  interceptors.push(_interceptor)
  return () => {
    const index = interceptors.indexOf(_interceptor)
    if (index >= 0) {
      interceptors.splice(index, 1)
    }
  }
}

const clear = () => {
  interceptors = []
}

export {
  register,
  clear,
}

Trong Java, bạn có thể sử dụng mã này:

private String getSecretHash(String email, String appClientId, String appSecretKey) throws Exception {
    byte[] data = (email + appClientId).getBytes("UTF-8");
    byte[] key = appSecretKey.getBytes("UTF-8");

    return Base64.encodeAsString(HmacSHA256(data, key));
}

static byte[] HmacSHA256(byte[] data, byte[] key) throws Exception {
    String algorithm = "HmacSHA256";
    Mac mac = Mac.getInstance(algorithm);
    mac.init(new SecretKeySpec(key, algorithm));
    return mac.doFinal(data);
}

Amazon đề cập đến cách tính toán các giá trị SecretHash cho Amazon Cognito trong tài liệu của họ với mã ứng dụng Java. Ở đây mã này hoạt động với boto 3 Python SDK .

Bạn có thể tìm thấy App clientstrong menu bên trái của bạn dưới General settings. Nhận những cái đó App client idvà App client secretđể tạo ra SECRET_HASH. Để bạn hiểu rõ hơn, tôi đã nhận xét tất cả các kết quả đầu ra của mỗi dòng.

import hashlib
import hmac
import base64

app_client_secret = 'u8f323eb3itbr3731014d25spqtv5r6pu01olpp5tm8ebicb8qa'
app_client_id = '396u9ekukfo77nhcfbmqnrec8p'
username = 'wasdkiller'

# convert str to bytes
key = bytes(app_client_secret, 'latin-1')  # b'u8f323eb3itbr3731014d25spqtv5r6pu01olpp5tm8ebicb8qa'
msg = bytes(username + app_client_id, 'latin-1')  # b'wasdkiller396u9ekukfo77nhcfbmqnrec8p'

new_digest = hmac.new(key, msg, hashlib.sha256).digest()  # b'P$#\xd6\xc1\xc0U\xce\xc1$\x17\xa1=\x18L\xc5\x1b\xa4\xc8\xea,\x92\xf5\xb9\xcdM\xe4\x084\xf5\x03~'
SECRET_HASH = base64.b64encode(new_digest).decode()  # UCQj1sHAVc7BJBehPRhMxRukyOoskvW5zU3kCDT1A34=

Trong tài liệu boto 3 , chúng ta có thể thấy rất nhiều thời gian hỏi về SECRET_HASH. Vì vậy, các dòng mã trên giúp bạn tạo ra điều nàySECRET_HASH .

Nếu bạn không muốn sử dụng, SECRET_HASHchỉ cần bỏ chọn Generate client secretkhi tạo ứng dụng.

đây là mã php mẫu mà tôi sử dụng để tạo hàm băm bí mật

<?php
    $userId = "aaa";
    $clientId = "bbb";
    $clientSecret = "ccc";
    $s = hash_hmac('sha256', $userId.$clientId, $clientSecret, true);
    echo base64_encode($s);
?>

trong trường hợp này kết quả là:

DdSuILDJ2V84zfOChcn6TfgmlfnHsUYq0J6c01QV43I=

đối với JAVA và .NET, bạn cần truyền bí mật có trong các tham số auth với tên SECRET_HASH.

AdminInitiateAuthRequest request = new AdminInitiateAuthRequest
{
  ClientId = this.authorizationSettings.AppClientId,
  AuthFlow = AuthFlowType.ADMIN_NO_SRP_AUTH,
  AuthParameters = new Dictionary<string, string>
  {
    {"USERNAME", username},
    {"PASSWORD", password},
    {
      "SECRET_HASH", EncryptionHelper.GetSecretHash(username, AppClientId, AppClientSecret)
    }
  },
  UserPoolId = this.authorizationSettings.UserPoolId
};

Và nó nên hoạt động.

C ++ với Khung Qt

QByteArray MyObject::secretHash(
     const QByteArray& email,
     const QByteArray& appClientId, 
     const QByteArray& appSecretKey)
{
            QMessageAuthenticationCode code(QCryptographicHash::Sha256);
            code.setKey(appSecretKey);
            code.addData(email);
            code.addData(appClientId);
            return code.result().toBase64();
};

Có thể có một phiên bản nhỏ gọn hơn, nhưng phiên bản này hoạt động cho Ruby, cụ thể là trong Ruby on Rails mà không phải yêu cầu bất cứ điều gì:

key = ENV['COGNITO_SECRET_HASH']
data = username + ENV['COGNITO_CLIENT_ID']
digest = OpenSSL::Digest.new('sha256')

hmac = Base64.strict_encode64(OpenSSL::HMAC.digest(digest, key, data))

Xác thực Cognito

Lỗi: Ứng dụng khách không được định cấu hình cho bí mật nhưng đã nhận được hàm băm bí mật

Cung cấp secretKey như nil làm việc cho tôi. Thông tin được cung cấp bao gồm: -

• CognitoIdentityUserPoolRegion (vùng)
• CognitoIdentityUserPoolId (userPoolId)
• CognitoIdentityUserPoolAppClientId (ClientId)

• AWSCognitoUserPoolsSignInProviderKey (AccessKeyId)

  // setup service configuration
  let serviceConfiguration = AWSServiceConfiguration(region: CognitoIdentityUserPoolRegion, credentialsProvider: nil)
  
  // create pool configuration
  let poolConfiguration = AWSCognitoIdentityUserPoolConfiguration(clientId: CognitoIdentityUserPoolAppClientId,
                                                                  clientSecret: nil,
                                                                  poolId: CognitoIdentityUserPoolId)
  
  // initialize user pool client
  AWSCognitoIdentityUserPool.register(with: serviceConfiguration, userPoolConfiguration: poolConfiguration, forKey: AWSCognitoUserPoolsSignInProviderKey)
  

Tất cả những điều trên làm việc với mẫu mã được liên kết dưới đây.

Mã mẫu AWS: https://github.com/awslabs/aws-sdk-ios-samples/tree/master/CognitoYourUserPools-Sample/Swift

Hãy cho tôi biết nếu điều đó không làm việc cho bạn.

Đây là lệnh 1 của tôi và nó hoạt động (Xác nhận :))

EMAIL="EMAIL@HERE.com" \
CLIENT_ID="[CLIENT_ID]" \
CLIENT_SECRET="[CLIENT_ID]" \
&& SECRET_HASH=$(echo -n "${EMAIL}${CLIENT_ID}" | openssl dgst -sha256 -hmac "${CLIENT_SECRET}" | xxd -r -p | openssl base64) \
&& aws cognito-idp ...  --secret-hash "${SECRET_HASH}"