реализация пользовательского SRP AUTH с python boto3 для AWS Cognito
Amazon предоставляет пакеты SDK для iOS, Android и Javascript Cognito, которые обеспечивают высокоуровневую аутентификацию пользователя.
Например, смотрите пример использования 4 здесь:
Https://github.com/aws/amazon-cognito-identity-js
Однако, если вы используете python / boto3, все, что вы получаете, - это пара примитивов: cognito.initiate_auth и cognito.respond_to_auth_challenge.
Я пытаюсь использовать эти примитивы вместе с pysrp lib аутентифицировать с потоком USER_SRP_AUTH, но то, что у меня есть, не работает.
Это всегда завершается ошибкой " произошла ошибка (NotAuthorizedException) при вызове операции Respontoauthchallenge: неверное имя пользователя или пароль."(Имя пользователя/пароль работает с JavaScript SDK для.)
Мое подозрение заключается в том, что я неправильно строю ответ на вызов (Шаг 3) и/или передаю шестнадцатеричные строки Congito, когда он хочет base64 или наоборот.
У кого-нибудь это работает? Кто-нибудь видит, что я делаю не так?
Я пытаюсь скопировать поведение вызова authenticateUser найдено в JavaScript SDK:
Https://github.com/aws/amazon-cognito-identity-js/blob/master/src/CognitoUser.js#L138
Но я делаю что-то не так и не могу понять, что именно.
#!/usr/bin/env python
import base64
import binascii
import boto3
import datetime as dt
import hashlib
import hmac
# http://pythonhosted.org/srp/
# https://github.com/cocagne/pysrp
import srp
bytes_to_hex = lambda x: "".join("{:02x}".format(ord(c)) for c in x)
cognito = boto3.client('cognito-idp', region_name="us-east-1")
username = "[email protected]"
password = "123456"
user_pool_id = u"us-east-1_XXXXXXXXX"
client_id = u"XXXXXXXXXXXXXXXXXXXXXXXXXX"
# Step 1:
# Use SRP lib to construct a SRP_A value.
srp_user = srp.User(username, password)
_, srp_a_bytes = srp_user.start_authentication()
srp_a_hex = bytes_to_hex(srp_a_bytes)
# Step 2:
# Submit USERNAME & SRP_A to Cognito, get challenge.
response = cognito.initiate_auth(
AuthFlow='USER_SRP_AUTH',
AuthParameters={ 'USERNAME': username, 'SRP_A': srp_a_hex },
ClientId=client_id,
ClientMetadata={ 'UserPoolId': user_pool_id })
# Step 3:
# Use challenge parameters from Cognito to construct
# challenge response.
salt_hex = response['ChallengeParameters']['SALT']
srp_b_hex = response['ChallengeParameters']['SRP_B']
secret_block_b64 = response['ChallengeParameters']['SECRET_BLOCK']
secret_block_bytes = base64.standard_b64decode(secret_block_b64)
secret_block_hex = bytes_to_hex(secret_block_bytes)
salt_bytes = binascii.unhexlify(salt_hex)
srp_b_bytes = binascii.unhexlify(srp_b_hex)
process_challenge_bytes = srp_user.process_challenge(salt_bytes,
srp_b_bytes)
timestamp = unicode(dt.datetime.utcnow().strftime("%a %b %d %H:%m:%S +0000 %Y"))
hmac_obj = hmac.new(process_challenge_bytes, digestmod=hashlib.sha256)
hmac_obj.update(user_pool_id.split('_')[1].encode('utf-8'))
hmac_obj.update(username.encode('utf-8'))
hmac_obj.update(secret_block_bytes)
hmac_obj.update(timestamp.encode('utf-8'))
challenge_responses = {
"TIMESTAMP": timestamp.encode('utf-8'),
"USERNAME": username.encode('utf-8'),
"PASSWORD_CLAIM_SECRET_BLOCK": secret_block_hex,
"PASSWORD_CLAIM_SIGNATURE": hmac_obj.hexdigest()
}
# Step 4:
# Submit challenge response to Cognito.
response = cognito.respond_to_auth_challenge(
ClientId=client_id,
ChallengeName='PASSWORD_VERIFIER',
ChallengeResponses=challenge_responses)
2 ответов:
В вашей реализации есть много ошибок. Например:
pysrpпо умолчанию использует алгоритм SHA1. Он должен быть установлен на SHA256._ng_constдлина должна быть 3072 бита и она должна быть скопирована изamazon-cognito-identity-js- в
pysrpнет функции hkdf .- ответ должен содержать
secret_block_b64, а неsecret_block_hex.- неверный формат временной метки.
%H:%m:%Sозначает "час: месяц: секунда" и+0000следует заменить наUTC.Имеет у кого-нибудь это получилось?
Да. Он реализован в модуле
warrant.aws_srp. https://github.com/capless/warrant/blob/develop/warrant/aws_srp.pyОбратите внимание, что модульfrom warrant.aws_srp import AWSSRP USERNAME='xxx' PASSWORD='yyy' POOL_ID='us-east-1_zzzzz' CLIENT_ID = '12xxxxxxxxxxxxxxxxxxxxxxx' aws = AWSSRP(username=USERNAME, password=PASSWORD, pool_id=POOL_ID, client_id=CLIENT_ID) tokens = aws.authenticate_user() id_token = tokens['AuthenticationResult']['IdToken'] refresh_token = tokens['AuthenticationResult']['RefreshToken'] access_token = tokens['AuthenticationResult']['AccessToken'] token_type = tokens['AuthenticationResult']['TokenType']aws_srpеще не был объединен в ветвьmaster.
authenticate_userметод поддерживает только вызовPASSWORD_VERIFIER. Если вы хотите ответить на другие вызовы, просто загляните в документациюauthenticate_userиboto3.
К сожалению, это сложная проблема, так как вы не получаете никаких подсказок от сервиса в отношении вычислений (он в основном говорит, что не авторизован, как вы упомянули).
Мы работаем над улучшением опыта разработчиков, когда пользователи пытаются реализовать SRP самостоятельно на языках, где у нас нет SDK. Кроме того, мы пытаемся добавить больше SDK.
Как бы устрашающе это ни звучало, я бы предложил взять Javascript или Android SDK, исправить входные данные (SRP_A, SRP_B, отметка времени)и добавить консоль.регистрируйте операторы в различных точках реализации, чтобы убедиться, что ваши вычисления похожи. Затем вы выполните эти вычисления в своей реализации и убедитесь, что вы получаете то же самое. Как вы уже предположили, подпись утверждения пароля должна быть передана службе в виде строки в кодировке base64, так что это может быть одной из проблем.
Некоторые из проблем, с которыми я столкнулся при реализации этого, были связаны с различиями в библиотеках BigInteger (то, как они делают заполнение байтов и преобразуют отрицательные числа в массивы байтов и обратно).
Comments