用python boto3实现USER_SRP_AUTH for AWS Cognito
例如,请参见这里的用例4:
https://github.com/aws/amazon-cognito-identity-js
但是,如果您使用的是Python/Boto3,则只得到一对原语:cognito.initiate_auth和cognito.respond_to_auth_challenge。
它总是以“调用RespondToAuthChallenge操作时发生错误(NotAuthorizedException):不正确的用户名或密码”而失败。(用户名/密码对可以通过JS SDK查找。)
我怀疑我构造的挑战响应是错误的(步骤3),和/或当它需要base64时传递Congito十六进制字符串,反之亦然。
有人把这个弄好了吗?有人看到我做错了什么吗?
#!/usr/bin/env python
import base64
import binascii
import boto3
import datetime as dt
import hashlib
import hmac
# http://pythonhosted.org/srp/
# https://github.com/cocagne/pysrp
import srp
bytes_to_hex = lambda x: "".join("{:02x}".format(ord(c)) for c in x)
cognito = boto3.client('cognito-idp', region_name="us-east-1")
username = "foobar@foobar.com"
password = "123456"
user_pool_id = u"us-east-1_XXXXXXXXX"
client_id = u"XXXXXXXXXXXXXXXXXXXXXXXXXX"
# Step 1:
# Use SRP lib to construct a SRP_A value.
srp_user = srp.User(username, password)
_, srp_a_bytes = srp_user.start_authentication()
srp_a_hex = bytes_to_hex(srp_a_bytes)
# Step 2:
# Submit USERNAME & SRP_A to Cognito, get challenge.
response = cognito.initiate_auth(
AuthFlow='USER_SRP_AUTH',
AuthParameters={ 'USERNAME': username, 'SRP_A': srp_a_hex },
ClientId=client_id,
ClientMetadata={ 'UserPoolId': user_pool_id })
# Step 3:
# Use challenge parameters from Cognito to construct
# challenge response.
salt_hex = response['ChallengeParameters']['SALT']
srp_b_hex = response['ChallengeParameters']['SRP_B']
secret_block_b64 = response['ChallengeParameters']['SECRET_BLOCK']
secret_block_bytes = base64.standard_b64decode(secret_block_b64)
secret_block_hex = bytes_to_hex(secret_block_bytes)
salt_bytes = binascii.unhexlify(salt_hex)
srp_b_bytes = binascii.unhexlify(srp_b_hex)
process_challenge_bytes = srp_user.process_challenge(salt_bytes,
srp_b_bytes)
timestamp = unicode(dt.datetime.utcnow().strftime("%a %b %d %H:%m:%S +0000 %Y"))
hmac_obj = hmac.new(process_challenge_bytes, digestmod=hashlib.sha256)
hmac_obj.update(user_pool_id.split('_')[1].encode('utf-8'))
hmac_obj.update(username.encode('utf-8'))
hmac_obj.update(secret_block_bytes)
hmac_obj.update(timestamp.encode('utf-8'))
challenge_responses = {
"TIMESTAMP": timestamp.encode('utf-8'),
"USERNAME": username.encode('utf-8'),
"PASSWORD_CLAIM_SECRET_BLOCK": secret_block_hex,
"PASSWORD_CLAIM_SIGNATURE": hmac_obj.hexdigest()
}
# Step 4:
# Submit challenge response to Cognito.
response = cognito.respond_to_auth_challenge(
ClientId=client_id,
ChallengeName='PASSWORD_VERIFIER',
ChallengeResponses=challenge_responses)
共有1个答案
在你的实现中有很多错误。例如:
pysrp默认情况下使用SHA1算法。应将其设置为SHA256._ng_const长度应为3072位,并应从Amazon-cognito-identity-js复制
pysrp中没有hkdf函数。- 响应应包含
secret_block_b64,而不是secret_block_hex。 - 错误的时间戳格式。
%h:%m:%s表示“小时:月:秒”,+0000应替换为UTC。
有人把这个弄好了吗?
from warrant.aws_srp import AWSSRP
USERNAME='xxx'
PASSWORD='yyy'
POOL_ID='us-east-1_zzzzz'
CLIENT_ID = '12xxxxxxxxxxxxxxxxxxxxxxx'
aws = AWSSRP(username=USERNAME, password=PASSWORD, pool_id=POOL_ID,
client_id=CLIENT_ID)
tokens = aws.authenticate_user()
id_token = tokens['AuthenticationResult']['IdToken']
refresh_token = tokens['AuthenticationResult']['RefreshToken']
access_token = tokens['AuthenticationResult']['AccessToken']
token_type = tokens['AuthenticationResult']['TokenType']
-
本文将介绍通知在一些常见情况下的实现方式,可能会用到 service worker 的其他一些API。 另外如果没有特别说明(如提到“主程序”),本文的所有代码都应编写在 service-worker.js 中。 通知关闭事件 在行为部分中,我们监听过 notificationclick 事件来处理通知点击。 事实上,还有一个 notificationclose 事件可以在用户关闭通知时被触发。这
-
问题内容: 我有实现UITextFieldDelegate的ViewController类。对于诸如textFieldShouldBeginEditing之类的功能,我没有自动完成功能。这是XCode 6中的错误吗?这是我的课堂实现。 问题答案: Xcode 6(Beta 1)当前不支持针对未实现的协议方法/属性(对于Swift)的自动完成功能。 最好的选择是使用尚未完全实现的协议,以查看丢失的内
-
问题内容: 我尝试用Java的编程思想实现OAuth,但失败了。我不知道为什么,但是我的代码不起作用。每次运行程序时,都会引发IOException,其原因为“ java.io.IOException:服务器返回的HTTP响应代码:401”(401表示未授权)。我仔细查看了文档,但是我真的不明白为什么它不起作用。我想使用的OAuth提供程序是twitter,我也在其中注册了我的应用程序。 在此先感
-
问题内容: 因此,我正在开发一个简单的Java应用程序,该应用程序允许用户输入图像作为查询,并使该应用程序将其与图像数据库进行比较(基本上只不过是不同图像的目录)。我基本上是在研究几种图像相似性测量技术,以找出哪些适合比较汽车图片。 我一直在做一些阅读,除了FFT / SSIM之外,我还阅读了SIFT算法可以产生非常好的结果。但是,作为只有大约一年的Java基本经验的人,老实说,我不确定我是否有足
-
jQuery 是一个小型的 JavaScript 库,它通常被用来简化 DOM 和 JavaScript 操作。通过在服务器和客户端之间交换 JSON 数据是使得 Web 应用动态化的完美方式。 JSON 本身是一个很清量级的数据传输格式,非常近似于 Python 的原始数据类型 (数字、字符串、字典和链表等),这一数据格式被广泛支持,而且非常容易解析。 它几年前开始流行,然后迅速取代了 XML
-
问题 如何用soaplib实现webservice? 解法 Optio的soaplib通过用装饰器指定类型,从而直接编写SOAP web service。而且它也是到目前为止,唯一为web service提供WSDL文档的Python类库。 import web from soaplib.wsgi_soap import SimpleWSGISoapApp from soaplib.service
-
问题内容: 我只是想知道有关Raywenderlich教程的代码,该代码如何添加以及如何与a一起使用?我似乎无法正常工作,有人告诉我它可能已在iOS 8.0中弃用,有人知道吗?关于如何仍然这样做? 该始建于NOT脚本! 问题答案: 已被弃用,并由代替。它在 iOS 8.0 及更高版本中可用。 UISearchController类定义一个接口,该接口与搜索结果控制器的内容一致地管理搜索栏的显示。搜
-
本文向大家介绍使用python实现ANN,包括了使用python实现ANN的使用技巧和注意事项,需要的朋友参考一下 本文实例为大家分享了python实现ANN的具体代码,供大家参考,具体内容如下 1.简要介绍神经网络 神经网络是具有适应性的简单单元组成的广泛并行互联的网络。它的组织能够模拟生物神经系统对真实世界物体做做出的反应。神经网络的最基本的成分是神经元模型,也就是最简单的神经元模型。 “M-