Amazonは、高レベルのユーザー認証操作を提供するiOS、Android、およびJavascript CognitoSDKを提供しています。
たとえば、次のユースケース4を参照してください。
https://github.com/aws/Amazon-cognito-identity-js
ただし、python/boto3を使用している場合、取得できるのはcognito.initiate_auth
とcognito.respond_to_auth_challenge
のプリミティブのペアだけです。
これらのプリミティブをpysrp
lib認証と一緒にUSER_SRP_AUTH
フローで使用しようとしていますが、機能していません。
「RespondToAuthChallenge操作の呼び出し時にエラーが発生しました(NotAuthorizedException):ユーザー名またはパスワードが正しくありません」で常に失敗します。 (ユーザー名とパスワードのペアは、JS SDKで見つかります。)
私の疑いは、チャレンジレスポンスを間違って構築している(ステップ3)、および/またはbase64が必要なときにCongitoの16進文字列を渡す、またはその逆であるということです。
誰かがこれを機能させましたか?誰かが私が間違っているのを見ますか?
JavascriptSDKにあるauthenticateUser
呼び出しの動作をコピーしようとしています。
https://github.com/aws/Amazon-cognito-identity-js/blob/master/src/CognitoUser.js#L138
しかし、私は何か間違ったことをしていて、何を理解することができません。
#!/usr/bin/env python
import base64
import binascii
import boto3
import datetime as dt
import hashlib
import hmac
# http://pythonhosted.org/srp/
# https://github.com/cocagne/pysrp
import srp
bytes_to_hex = lambda x: "".join("{:02x}".format(ord(c)) for c in x)
cognito = boto3.client('cognito-idp', region_name="us-east-1")
username = "[email protected]"
password = "123456"
user_pool_id = u"us-east-1_XXXXXXXXX"
client_id = u"XXXXXXXXXXXXXXXXXXXXXXXXXX"
# Step 1:
# Use SRP lib to construct a SRP_A value.
srp_user = srp.User(username, password)
_, srp_a_bytes = srp_user.start_authentication()
srp_a_hex = bytes_to_hex(srp_a_bytes)
# Step 2:
# Submit USERNAME & SRP_A to Cognito, get challenge.
response = cognito.initiate_auth(
AuthFlow='USER_SRP_AUTH',
AuthParameters={ 'USERNAME': username, 'SRP_A': srp_a_hex },
ClientId=client_id,
ClientMetadata={ 'UserPoolId': user_pool_id })
# Step 3:
# Use challenge parameters from Cognito to construct
# challenge response.
salt_hex = response['ChallengeParameters']['SALT']
srp_b_hex = response['ChallengeParameters']['SRP_B']
secret_block_b64 = response['ChallengeParameters']['SECRET_BLOCK']
secret_block_bytes = base64.standard_b64decode(secret_block_b64)
secret_block_hex = bytes_to_hex(secret_block_bytes)
salt_bytes = binascii.unhexlify(salt_hex)
srp_b_bytes = binascii.unhexlify(srp_b_hex)
process_challenge_bytes = srp_user.process_challenge(salt_bytes,
srp_b_bytes)
timestamp = unicode(dt.datetime.utcnow().strftime("%a %b %d %H:%m:%S +0000 %Y"))
hmac_obj = hmac.new(process_challenge_bytes, digestmod=hashlib.sha256)
hmac_obj.update(user_pool_id.split('_')[1].encode('utf-8'))
hmac_obj.update(username.encode('utf-8'))
hmac_obj.update(secret_block_bytes)
hmac_obj.update(timestamp.encode('utf-8'))
challenge_responses = {
"TIMESTAMP": timestamp.encode('utf-8'),
"USERNAME": username.encode('utf-8'),
"PASSWORD_CLAIM_SECRET_BLOCK": secret_block_hex,
"PASSWORD_CLAIM_SIGNATURE": hmac_obj.hexdigest()
}
# Step 4:
# Submit challenge response to Cognito.
response = cognito.respond_to_auth_challenge(
ClientId=client_id,
ChallengeName='PASSWORD_VERIFIER',
ChallengeResponses=challenge_responses)
実装には多くのエラーがあります。例えば:
pysrp
はデフォルトでSHA1アルゴリズムを使用します。 SHA256に設定する必要があります。_ng_const
の長さは3072ビットで、Amazon-cognito-identity-js
からコピーする必要がありますpysrp
には hkdf 関数はありません。secret_block_b64
ではなくsecret_block_hex
を含める必要があります。%H:%m:%S
は「hour:month:second」を意味し、+0000
はUTC
に置き換える必要があります。誰かがこれを機能させましたか?
はい。 warrant.aws_srp
モジュールに実装されています。 https://github.com/capless/warrant/blob/develop/warrant/aws_srp.py
from warrant.aws_srp import AWSSRP
USERNAME='xxx'
PASSWORD='yyy'
POOL_ID='us-east-1_zzzzz'
CLIENT_ID = '12xxxxxxxxxxxxxxxxxxxxxxx'
aws = AWSSRP(username=USERNAME, password=PASSWORD, pool_id=POOL_ID,
client_id=CLIENT_ID)
tokens = aws.authenticate_user()
id_token = tokens['AuthenticationResult']['IdToken']
refresh_token = tokens['AuthenticationResult']['RefreshToken']
access_token = tokens['AuthenticationResult']['AccessToken']
token_type = tokens['AuthenticationResult']['TokenType']
aws_srp
モジュールはまだmaster
ブランチにマージされていないことに注意してください。
authenticate_user
メソッドはPASSWORD_VERIFIER
チャレンジのみをサポートします。他の課題に対応したい場合は、authenticate_user
およびboto3
のドキュメントを調べてください。
残念ながら、計算に関してサービスからヒントが得られないため、これは難しい問題です(主に、前述のように許可されていないと表示されます)。
SDKがない言語でユーザーが独自にSRPを実装しようとしている場合、開発者エクスペリエンスの向上に取り組んでいます。また、SDKをさらに追加しようとしています。
気が遠くなるように聞こえますが、私が提案するのは、JavascriptまたはAndroid SDK、入力(SRP_A、SRP_B、TIMESTAMP)を修正し、console.logステートメントをさまざまなポイントに追加することです。実装は、計算が類似していることを確認します。次に、実装でこれらの計算を実行し、同じになることを確認します。提案したように、パスワード要求署名は、base64でエンコードされた文字列としてサービスに渡される必要があります。問題の1つかもしれません。
これを実装しているときに発生した問題のいくつかは、BigIntegerライブラリの違い(バイトパディングを実行し、負の数をバイト配列に変換する方法とその逆の方法)に関連していました。