无法在Amazon Cognito Userpools中验证客户端的秘密哈希


131

我被困在“ Amazon Cognito身份用户池”过程中。

我尝试了所有可能的代码以在Cognito用户池中对用户进行身份验证。但是我总是说错 “错误:无法验证客户端4b ******* fd的秘密哈希”。

这是代码:

AWS.config.region = 'us-east-1'; // Region
AWS.config.credentials = new AWS.CognitoIdentityCredentials({
    IdentityPoolId: 'us-east-1:b64bb629-ec73-4569-91eb-0d950f854f4f'
});

AWSCognito.config.region = 'us-east-1';
AWSCognito.config.credentials = new AWS.CognitoIdentityCredentials({
    IdentityPoolId: 'us-east-1:b6b629-er73-9969-91eb-0dfffff445d'
});

AWSCognito.config.update({accessKeyId: 'AKIAJNYLRONAKTKBXGMWA', secretAccessKey: 'PITHVAS5/UBADLU/dHITesd7ilsBCm'})

var poolData = { 
    UserPoolId : 'us-east-1_l2arPB10',
    ClientId : '4bmsrr65ah3oas5d4sd54st11k'
};
var userPool = new AWSCognito.CognitoIdentityServiceProvider.CognitoUserPool(poolData);

var userData = {
     Username : 'ronakpatel@gmail.com',
     Pool : userPool
};

var cognitoUser = new AWSCognito.CognitoIdentityServiceProvider.CognitoUser(userData);

cognitoUser.confirmRegistration('123456', true,function(err, result) {
if (err) {
    alert(err);
    return;
}
console.log('call result: ' + result);
});


是的,请查看下面的@Simon Buchan答案以获取JavaScript实现。它完美地工作。
guzmonne

Answers:


179

似乎当前,AWS Cognito不能完美地处理客户端机密。它会在不久的将来运行,但到目前为止,它仍是beta版。

对我来说,对于没有客户端机密的应用程序来说,它工作正常,但对于具有客户端机密的应用程序而言,它却失败了。

因此,请在您的用户池中尝试创建一个新应用程序而不生成客户端机密。然后使用该应用注册新用户或确认注册。


14
仅供参考:这只是我刚才发生的事情。仍然以这种方式运行(2017年1月)。当我创建没有client_secret的应用程序时,我能够使用JS SDK。当我使用client_secret创建一个应用程序时,我得到了与原始问题相同的失败提示。
Cheeso

5
截至2017年4月21日,当为App Client启用密钥后,它仍无法使用AWS CLI正常工作。aws cognito-idp admin-initiate-auth \ --region ap-northeast-1 \ --user-pool-id MY_POOL_ID \ --client-id MY_CLIENT_ID \ --auth-flow ADMIN_NO_SRP_AUTH \ --auth-parameters USERNAME =用户名@ gmail.com,PASSWORD = som3PassW0rd
Stanley Yong

26
截至2018年1月,仍不支持此功能。Github 仓库github.com/aws/amazon-cognito-identity-js上的文档 提到了这一点:"When creating the App, the generate client secret box must be unchecked because the JavaScript SDK doesn't support apps that have a client secret."
kakoma

5
2018年5月19日,我们需要创建没有客户端机密的应用程序时发生同样的错误。
Dileep '18年

4
2018年9月12日-同一期。即使不使用生成机密的客户端,无论用户是否经过身份验证,我都会得到400。尽管如此,应用程序仍能按预期运行。
foxtrotuniform6969


37

这可能要晚几年了,但只需取消选中“生成客户端机密”选项即可,它将适用于您的Web客户端。

生成应用程序客户端选项


8
请注意,客户端创建后就无法对其进行编辑,因此,如果需要,可以创建一个新的客户端。
URL87,19年

如果您创建一个新的应用程序客户端,并且拥有一个使用Cognito身份验证提供程序的身份池(位于“联合身份”上),请记住使用新的应用程序客户端的ID更新应用程序客户端ID字段。
AMS777

21

由于其他所有人都已经发布了他们的语言,因此这里是节点(并且它在浏览器中可与一起browserify-crypto使用,如果您使用webpack或browserify,则会自动使用):

const crypto = require('crypto');

...

crypto.createHmac('SHA256', clientSecret)
  .update(username + clientId)
  .digest('base64')

4
这是最简单,最好的Node.js内置解决方案,谢谢@simon
工程师

19

我在.net SDK中遇到了同样的问题。

如果其他人需要它,这是我解决的方法:

public static class CognitoHashCalculator
{
    public static string GetSecretHash(string username, string appClientId, string appSecretKey)
    {
        var dataString = username + appClientId;

        var data = Encoding.UTF8.GetBytes(dataString);
        var key = Encoding.UTF8.GetBytes(appSecretKey);

        return Convert.ToBase64String(HmacSHA256(data, key));
    }

    public static byte[] HmacSHA256(byte[] data, byte[] key)
    {
        using (var shaAlgorithm = new System.Security.Cryptography.HMACSHA256(key))
        {
            var result = shaAlgorithm.ComputeHash(data);
            return result;
        }
    }
}

进行注册,如下所示:

public class CognitoSignUpController
{
    private readonly IAmazonCognitoIdentityProvider _amazonCognitoIdentityProvider;

    public CognitoSignUpController(IAmazonCognitoIdentityProvider amazonCognitoIdentityProvider)
    {
        _amazonCognitoIdentityProvider = amazonCognitoIdentityProvider;
    }

    public async Task<bool> SignUpAsync(string userName, string password, string email)
    {
        try
        {
            var request = CreateSignUpRequest(userName, password, email);
            var authResp = await _amazonCognitoIdentityProvider.SignUpAsync(request);

            return true;
        }
        catch
        {
            return false;
        }
    }

    private static SignUpRequest CreateSignUpRequest(string userName, string password, string email)
    {
        var clientId = ConfigurationManager.AppSettings["ClientId"];
        var clientSecretId = ConfigurationManager.AppSettings["ClientSecretId"];

        var request = new SignUpRequest
        {
            ClientId = clientId,
            SecretHash = CognitoHashCalculator.GetSecretHash(userName, clientId, clientSecretId),
            Username = userName,
            Password = password,
        };

        request.UserAttributes.Add("email", email);
        return request;
    }
}

确认仍然需要并且仍然可以在v3.5 AWS .NET SDK(预览版)中使用。
pieSquared

13

对于对使用AWS Lambda使用AWS JS SDK进行用户注册感兴趣的任何人,这些都是我要做的步骤:

在python中创建另一个lambda函数以生成密钥:

import hashlib
import hmac
import base64

secretKey = "key"
clientId = "clientid"
digest = hmac.new(secretKey,
                  msg=username + clientId,
                  digestmod=hashlib.sha256
                 ).digest()
signature = base64.b64encode(digest).decode()

通过AWS中的nodeJS函数调用该函数。签名充当了Cognito的秘密哈希

注意:答案很大程度上取决于以下链接中的George Campbell的答案:使用python中的字符串+密钥计算SHA哈希


12

解决方案golang。似乎应该将其添加到SDK中。

import (
    "crypto/hmac"
    "crypto/sha256"
    "encoding/base64"
)

func SecretHash(username, clientID, clientSecret string) string {
    mac := hmac.New(sha256.New, []byte(clientSecret))
    mac.Write([]byte(username + ClientID))
    return base64.StdEncoding.EncodeToString(mac.Sum(nil))
}

8

使用SecretHash的NodeJS解决方案

AWS从SDK中删除了密钥似乎很愚蠢,因为它不会在NodeJS中公开。

我通过拦截获取并使用@Simon Buchan添加哈希键来使其NodeJS中工作的答案。

cognito.js

import { CognitoUserPool, CognitoUserAttribute, CognitoUser } from 'amazon-cognito-identity-js'
import crypto from 'crypto'
import * as fetchIntercept from './fetch-intercept'

const COGNITO_SECRET_HASH_API = [
  'AWSCognitoIdentityProviderService.ConfirmForgotPassword',
  'AWSCognitoIdentityProviderService.ConfirmSignUp',
  'AWSCognitoIdentityProviderService.ForgotPassword',
  'AWSCognitoIdentityProviderService.ResendConfirmationCode',
  'AWSCognitoIdentityProviderService.SignUp',
]

const CLIENT_ID = 'xxx'
const CLIENT_SECRET = 'xxx'
const USER_POOL_ID = 'xxx'

const hashSecret = (clientSecret, username, clientId) => crypto.createHmac('SHA256', clientSecret)
  .update(username + clientId)
  .digest('base64')

fetchIntercept.register({
  request(url, config) {
    const { headers } = config
    if (headers && COGNITO_SECRET_HASH_API.includes(headers['X-Amz-Target'])) {
      const body = JSON.parse(config.body)
      const { ClientId: clientId, Username: username } = body
      // eslint-disable-next-line no-param-reassign
      config.body = JSON.stringify({
        ...body,
        SecretHash: hashSecret(CLIENT_SECRET, username, clientId),
      })
    }
    return [url, config]
  },
})

const userPool = new CognitoUserPool({
  UserPoolId: USER_POOL_ID,
  ClientId: CLIENT_ID,
})

const register = ({ email, password, mobileNumber }) => {
  const dataEmail = { Name: 'email', Value: email }
  const dataPhoneNumber = { Name: 'phone_number', Value: mobileNumber }

  const attributeList = [
    new CognitoUserAttribute(dataEmail),
    new CognitoUserAttribute(dataPhoneNumber),
  ]

  return userPool.signUp(email, password, attributeList, null, (err, result) => {
    if (err) {
      console.log((err.message || JSON.stringify(err)))
      return
    }
    const cognitoUser = result.user
    console.log(`user name is ${cognitoUser.getUsername()}`)
  })
}

export {
  register,
}

fetch-inceptor.js(从https://github.com/werk85/fetch-intercept/blob/develop/src/index.js的 Fork为NodeJS分叉和编辑)

let interceptors = []

if (!global.fetch) {
  try {
    // eslint-disable-next-line global-require
    global.fetch = require('node-fetch')
  } catch (err) {
    throw Error('No fetch available. Unable to register fetch-intercept')
  }
}
global.fetch = (function (fetch) {
  return (...args) => interceptor(fetch, ...args)
}(global.fetch))

const interceptor = (fetch, ...args) => {
  const reversedInterceptors = interceptors.reduce((array, _interceptor) => [_interceptor].concat(array), [])
  let promise = Promise.resolve(args)

  // Register request interceptors
  reversedInterceptors.forEach(({ request, requestError }) => {
    if (request || requestError) {
      promise = promise.then(_args => request(..._args), requestError)
    }
  })

  // Register fetch call
  promise = promise.then(_args => fetch(..._args))

  // Register response interceptors
  reversedInterceptors.forEach(({ response, responseError }) => {
    if (response || responseError) {
      promise = promise.then(response, responseError)
    }
  })

  return promise
}

const register = (_interceptor) => {
  interceptors.push(_interceptor)
  return () => {
    const index = interceptors.indexOf(_interceptor)
    if (index >= 0) {
      interceptors.splice(index, 1)
    }
  }
}

const clear = () => {
  interceptors = []
}

export {
  register,
  clear,
}

我能够按照您的程序进行注册,但无法使用此proc登录。登录是否需要进行任何修改?如果您可以在此处添加它,将非常有帮助。提前致谢。
Vinay Wadagavi,

7

在Java中,您可以使用以下代码:

private String getSecretHash(String email, String appClientId, String appSecretKey) throws Exception {
    byte[] data = (email + appClientId).getBytes("UTF-8");
    byte[] key = appSecretKey.getBytes("UTF-8");

    return Base64.encodeAsString(HmacSHA256(data, key));
}

static byte[] HmacSHA256(byte[] data, byte[] key) throws Exception {
    String algorithm = "HmacSHA256";
    Mac mac = Mac.getInstance(algorithm);
    mac.init(new SecretKeySpec(key, algorithm));
    return mac.doFinal(data);
}

除了将秘密哈希值输出到屏幕之外,您还可以在其中使用它吗?
亚伦

1
谁能在网上指向任何说明对客户端机密进行身份验证的AWS文档?base64 / sha256签名编码是引人注目的解决方案-但毫无价值,除非它们与AWS文档明确兼容,阐明如何针对客户端机密进行身份验证。
Kode Charlie

7

亚马逊在其使用Java应用程序代码的文档中提到如何为Amazon Cognito 计算SecretHash值。在这里,此代码可与boto 3 Python SDK一起使用

应用程式客户详细资料

您可以App clients在左侧菜单中找到General settings。获取App client idApp client secret创建SECRET_HASH。为了使您更好地理解,我注释掉了每一行的所有输出。

import hashlib
import hmac
import base64

app_client_secret = 'u8f323eb3itbr3731014d25spqtv5r6pu01olpp5tm8ebicb8qa'
app_client_id = '396u9ekukfo77nhcfbmqnrec8p'
username = 'wasdkiller'

# convert str to bytes
key = bytes(app_client_secret, 'latin-1')  # b'u8f323eb3itbr3731014d25spqtv5r6pu01olpp5tm8ebicb8qa'
msg = bytes(username + app_client_id, 'latin-1')  # b'wasdkiller396u9ekukfo77nhcfbmqnrec8p'

new_digest = hmac.new(key, msg, hashlib.sha256).digest()  # b'P$#\xd6\xc1\xc0U\xce\xc1$\x17\xa1=\x18L\xc5\x1b\xa4\xc8\xea,\x92\xf5\xb9\xcdM\xe4\x084\xf5\x03~'
SECRET_HASH = base64.b64encode(new_digest).decode()  # UCQj1sHAVc7BJBehPRhMxRukyOoskvW5zU3kCDT1A34=

boto 3文档中,我们可以看到很多时间询问SECRET_HASH。因此,以上代码行可帮助您创建此代码SECRET_HASH

如果您不想使用SECRET_HASH,请Generate client secret在创建应用程序时取消选中。

新应用创建


1
对我来说,这仅在我将msg = bytes(app_client_id + username,'latin-1')切换为msg = bytes(username + app_client_id,'latin-1')时才有效。为了清楚起见,我切换了clientId和用户名的顺序,以使用户名首先出现。
乔什·沃尔夫

1
非常感谢@JoshWolff,我错误地交换了app_client_idusername。但是我将正确的输出显示为注释,并根据username+ 显示app_client_id。一次又一次的感谢。
库山Gunasekera

1
没问题!@Kushan Gunasekera
乔什·沃尔夫

6

这是我用来生成秘密哈希的示例php代码

<?php
    $userId = "aaa";
    $clientId = "bbb";
    $clientSecret = "ccc";
    $s = hash_hmac('sha256', $userId.$clientId, $clientSecret, true);
    echo base64_encode($s);
?>

在这种情况下,结果是:

DdSuILDJ2V84zfOChcn6TfgmlfnHsUYq0J6c01QV43I=

5

对于JAVA和.NET,您需要传递auth参数中具有名称的秘密SECRET_HASH

AdminInitiateAuthRequest request = new AdminInitiateAuthRequest
{
  ClientId = this.authorizationSettings.AppClientId,
  AuthFlow = AuthFlowType.ADMIN_NO_SRP_AUTH,
  AuthParameters = new Dictionary<string, string>
  {
    {"USERNAME", username},
    {"PASSWORD", password},
    {
      "SECRET_HASH", EncryptionHelper.GetSecretHash(username, AppClientId, AppClientSecret)
    }
  },
  UserPoolId = this.authorizationSettings.UserPoolId
};

它应该工作。


3

具有Qt框架的C ++

QByteArray MyObject::secretHash(
     const QByteArray& email,
     const QByteArray& appClientId, 
     const QByteArray& appSecretKey)
{
            QMessageAuthenticationCode code(QCryptographicHash::Sha256);
            code.setKey(appSecretKey);
            code.addData(email);
            code.addData(appClientId);
            return code.result().toBase64();
};

1

可能会有一个更紧凑的版本,但这适用于Ruby,特别是在Ruby on Rails中,而无需任何操作:

key = ENV['COGNITO_SECRET_HASH']
data = username + ENV['COGNITO_CLIENT_ID']
digest = OpenSSL::Digest.new('sha256')

hmac = Base64.strict_encode64(OpenSSL::HMAC.digest(digest, key, data))

0

认知认证

错误:未为秘密配置应用程序客户端,但收到秘密哈希

提供secretKey为零对我有用。提供的凭据包括:-

  • CognitoIdentityUserPoolRegion(区域)
  • CognitoIdentityUserPoolId(userPoolId)
  • CognitoIdentityUserPoolAppClientId(ClientId)
  • AWSCognitoUserPoolsSignInProviderKey(AccessKeyId)

    // setup service configuration
    let serviceConfiguration = AWSServiceConfiguration(region: CognitoIdentityUserPoolRegion, credentialsProvider: nil)
    
    // create pool configuration
    let poolConfiguration = AWSCognitoIdentityUserPoolConfiguration(clientId: CognitoIdentityUserPoolAppClientId,
                                                                    clientSecret: nil,
                                                                    poolId: CognitoIdentityUserPoolId)
    
    // initialize user pool client
    AWSCognitoIdentityUserPool.register(with: serviceConfiguration, userPoolConfiguration: poolConfiguration, forKey: AWSCognitoUserPoolsSignInProviderKey)
    

以上所有内容均与以下链接的代码示例一起使用。

AWS示例代码: https //github.com/awslabs/aws-sdk-ios-samples/tree/master/CognitoYourUserPools-Sample/Swift

让我知道这是否不适合您。


这是一个死链接
Jpnh

0

这是我的1个命令,它可以正常工作(已确认:))

EMAIL="EMAIL@HERE.com" \
CLIENT_ID="[CLIENT_ID]" \
CLIENT_SECRET="[CLIENT_ID]" \
&& SECRET_HASH=$(echo -n "${EMAIL}${CLIENT_ID}" | openssl dgst -sha256 -hmac "${CLIENT_SECRET}" | xxd -r -p | openssl base64) \
&& aws cognito-idp ...  --secret-hash "${SECRET_HASH}"
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.