Невозможно проверить секретный хеш для клиента на REFRESH_TOKEN_AUTH

Question

Проблема

"Невозможно проверить секретный хэш для клиента ..." в потоке аутентификации REFRESH_TOKEN_AUTH.

{
    "Error": {
        "Code": "NotAuthorizedException",
        "Message": "Unable to verify secret hash for client 3tjdt39cq4lodrn60kjmsb****"
    },
    "ResponseMetadata": {
        "HTTPHeaders": {
            "connection": "keep-alive",
            "content-length": "114",
            "content-type": "application/x-amz-json-1.1",
            "date": "Tue, 29 Jan 2019 22:22:35 GMT",
            "x-amzn-errormessage": "Unable to verify secret hash for client 3tjdt39cq4lodrn60kjmsbv3jq",
            "x-amzn-errortype": "NotAuthorizedException:",
            "x-amzn-requestid": "610368ec-2414-11e9-9671-f11a8cac1e43"
        },
        "HTTPStatusCode": 400,
        "RequestId": "610368ec-2414-11e9-9671-f11a8cac1e43",
        "RetryAttempts": 0
    }
}

Код Boto3 для REFRESH_TOKEN_AUTH

Следовал документации AWS (как в ссылках ниже).

Для REFRESH_TOKEN_AUTH / REFRESH_TOKEN: REFRESH_TO (REFRESH_TO)SECRET_HASH (требуется, если клиент приложения настроен с секретом клиента), DEVICE_KEY

response = get_client().admin_initiate_auth(
    UserPoolId=USER_POOL_ID,
    ClientId=CLIENT_ID,
    AuthFlow='REFRESH_TOKEN_AUTH',
    AuthParameters={
        'REFRESH_TOKEN': refresh_token,
        'SECRET_HASH': get_secret_hash(username)
    }
)

Это не происходит в потоке аутентификации ADMIN_NO_SRP_AUTH с тем же значением хеш-значения секрета.

Boto3код для ADMIN_NO_SRP_AUTH

response = get_client().admin_initiate_auth(
    UserPoolId=USER_POOL_ID,
    ClientId=CLIENT_ID,
    AuthFlow='ADMIN_NO_SRP_AUTH',
    AuthParameters={
        'USERNAME': username,
        'SECRET_HASH': get_secret_hash(username),
        'PASSWORD': password
    },
    ClientMetadata={
        'username': username,
        'password': password
    }
)

Один и тот же секретный хэш работает с 200.

{
    "AuthenticationResult": {
        "AccessToken": ...,
        "TokenType": "Bearer"
    },
    "ChallengeParameters": {},
    "ResponseMetadata": {
        "HTTPHeaders": {
            "connection": "keep-alive",
            "content-length": "3865",
            "content-type": "application/x-amz-json-1.1",
            "date": "Tue, 29 Jan 2019 22:25:33 GMT",
            "x-amzn-requestid": "cadf53cf-2414-11e9-bba9-4b60b3285418"
        },
        "HTTPStatusCode": 200,
        "RequestId": "cadf53cf-2414-11e9-bba9-4b60b3285418",
        "RetryAttempts": 0
    }
}

Оба используют одну и ту же логику для генерации секретного хеша.

def get_secret_hash(username):
    msg = username + CLIENT_ID
    digest = hmac.new(
        str(CLIENT_SECRET).encode('utf-8'),
        msg = str(msg).encode('utf-8'),
        digestmod=hashlib.sha256
    ).digest()
    hash = base64.b64encode(digest).decode()

    log_debug("secret hash for cognito UP is [{0}]".format(hash))
    return hash

значение одинаковое:

secret hash for cognito UP is [6kvmKb8almXpYKvfEbE9q4r1Iq/SuQvP8H**********].

Среда

• Пул пользователя Cognito с включенным секретом клиента.

  печать boto.Version 2.49.0

Исследования

AWS Javascript JDK

AWS Amplify Javascript JDK не поддерживает секрет клиента, как указано в Github , но отчет не найден, поэтомудалеко на Boto3.

При созданииВ приложении необходимо сгенерировать секретный ящик для генерации клиента, поскольку JavaScript SDK не поддерживает приложения с секретом клиента.

Связанные проблемы

• AWSСбой атомарного токена Cognito в секретном хеше
• Невозможно проверить секретный хеш для клиента в Amazon Cognito Userpools

Ссылки

• Cognito Admin Initiate Auth
• Boto3 admin_initiate_auth
• AWS Cognito User Pool Вычисление значений SecretHash

Answer 1

Должно ли быть подтверждено поведение в соответствии с ожиданиями или нет.На данный момент, чтобы обойти проблему.

От AWS

Причина и решение проблемы, выявленные сотрудником AWS.

, когда у вас есть«@» В имени пользователя вы получаете эту ошибку при вызове REFRESH_TOKEN_AUTH.Cognito генерирует для них имя пользователя в стиле UUID.И вы должны использовать это во время вызова обновления.

Пример кода, предоставленного для обновления токенов.

import boto3
import hmac
import hashlib
import base64
import time
import jwt

Region = "us-east-1"
UserPoolId = "Your userpool ID"
AppClientId = "yyyy"
AppClientSecret = "zzzz"
Username = "james@bond.com"
Password = "shakennotstirred"

Signature = hmac.new(AppClientSecret, Username+AppClientId,digestmod=hashlib.sha256)
Hash = base64.b64encode(Signature.digest())

Cognito = boto3.client("cognito-idp", region_name=Region)

AuthResponse = Cognito.admin_initiate_auth(
    AuthFlow="ADMIN_NO_SRP_AUTH",
    ClientId=AppClientId,
    UserPoolId=UserPoolId,
    AuthParameters={"USERNAME":Username, "PASSWORD":Password, "SECRET_HASH":Hash})

IdToken = AuthResponse["AuthenticationResult"]["IdToken"]
RefreshToken = AuthResponse["AuthenticationResult"]["RefreshToken"]

Decoded = jwt.decode(IdToken, verify=False)
DecodedUsername = Decoded["cognito:username"]

NewSignature = hmac.new(AppClientSecret, DecodedUsername+AppClientId, digestmod=hashlib.sha256) #!! Generate new signature and hash
NewHash = base64.b64encode(NewSignature.digest())

RefreshResponse = Cognito.admin_initiate_auth(
    AuthFlow="REFRESH_TOKEN_AUTH",
    ClientId=AppClientId,
    UserPoolId=UserPoolId,
    AuthParameters={"REFRESH_TOKEN":RefreshToken, "SECRET_HASH":NewHash}) #!! Use the new hash

NewIdToken = RefreshResponse["AuthenticationResult"]["IdToken"]


print("NewIdToken: "+NewIdToken)

В примере используется Python2.Для установки пакетов требуется.

pip2 install cryptography -t .
pip2 install PyJWT -t .