我有一个 PHP 网页,我在其中配置了 aws sdk 并实例化了 Cognito 客户端客户端也配置了客户端机密,并且启用了身份验证流 USER_PASSWORD_AUTH、USER_SRP_AUTH。具有基本身份验证流类型 USER_PASSWORD_AUTH 的initialAuth 对我来说很好用。以下是我尝试过的示例用法 -
$result = $cognito->initiateAuth([
'AuthFlow' => 'USER_PASSWORD_AUTH',
'ClientId' => '<client_id>',
'UserPoolId' => '<pool_id>',
'AuthParameters' => [
'USERNAME' => '<username>',
'PASSWORD' => "<password>",
'SECRET_HASH' => base64_encode(hash_hmac('sha256', '<username>' . '<client_id>', '<client_secret>', true))
]
]);
有了这个,我们得到了访问和 id 令牌的成功响应,但是当我们尝试使用与 USER_SRP_AUTH 方法相同的参数时 -
$srp = new srp();
$a = $srp->getRandomSeed();
$A = $srp->generateA($a);
$result = $cognito->initiateAuth([
'AuthFlow' => 'USER_SRP_AUTH',
'ClientId' => '<client_id>',
'UserPoolId' => '<pool_id>',
'AuthParameters' => [
'USERNAME' => '<username>',
'SRP_A' => $A,
'SECRET_HASH' => base64_encode(hash_hmac('sha256', '<username>' . '<client_id>', '<client_secret>', true))
]
]);
$date = date('D M d H:i:s')." UTC 2021";
$challengeParameters = $result->get("ChallengeParameters");
$s = $srp->getRandomSeed();
$x = $srp->generateX($s, $challengeParameters['USER_ID_FOR_SRP'], '<password>');
$S = $srp->generateS_Client($A, $challengeParameters['SRP_B'], $a, $x);
$K = $srp->generateK($S);
$response = $cognito->respondToAuthChallenge([
"ChallengeName" => "PASSWORD_VERIFIER",
"ClientId" => '<client_id>',
"ChallengeResponses" => [
"TIMESTAMP" => $date,
"USERNAME" => $challengeParameters['USER_ID_FOR_SRP'],
"PASSWORD_CLAIM_SECRET_BLOCK" => $challengeParameters['SECRET_BLOCK'],
"PASSWORD_CLAIM_SIGNATURE" => hash_hmac('sha256', $K, $challengeParameters['SALT']),
'SECRET_HASH' => base64_encode(hash_hmac('sha256', $challengeParameters['USER_ID_FOR_SRP'] . '<client_id>', '<client_secret>', true))
]
]);
但是用这种方法我总是得到这个错误 -
NotAuthorizedException Error executing "RespondToAuthChallenge" on "https://cognito-idp.us-east-1.amazonaws.com"; AWS HTTP error: Client error: `POST https://cognito-idp.us-east-1.amazonaws.com` resulted in a `400 Bad Request` response: {"__type":"NotAuthorizedException","message":"Incorrect username or password."} NotAuthorizedException (client): Incorrect username or password. - {"__type":"NotAuthorizedException","message":"Incorrect username or password."}
现在我也尝试替换为challengeParams['USER_ID_FOR_SRP'],<username>但仍然出现相同的错误。
那么,这里的任何人都可以帮助我弄清楚问题是什么,并可能也尝试帮助解决它吗?
Cognito 中 SRP 的问题在于它不是根据RFC5054的 SRP 。
如果您出于 Cognito 的目的使用任何标准库来处理 SRP,则它不会起作用。此外,PHP 的 SDK 不支持 SRP。
以下是根据RFC5054 的SRP 的工作原理(非常简化):
客户:
服务器:
客户:
服务器:
客户:
当双方都能够确认他们拥有的会话密钥有效时,就假定用户通过了身份验证。
这是它在 Cognito 中的样子:
客户:
服务器:
在这一点上,我们已经可以看到这与 RFC 不同。这个秘密块是特定于 Cognito 而不是 RFC 的。因此,接下来的任何计算都需要以不同的方式进行。
实现相当冗长,所以我将粘贴一个指向 Gist 的链接。它是Lynh来自Python的端口,而Python又基于Java 的 AWS SDK 示例:
https://gist.github.com/jenky/a4465f73adf90206b3e98c3d36a3be4f
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句