3

我想要完成的是能够将来自 Force.com 的数据上传到已设置的服务帐户下的 Google Fusion Table 中,以便可以根据该数据生成网络图可视化并显示在Force.com 中的 VF 页面。

我编写了一个 Apex 类,其中包含以下内容:

public class NetworkGraphTestController {
    public static String base64URLEncode(Blob input) {
        String output = encodingUtil.base64Encode(input);
        output = output.replace('+', '-');
        output = output.replace('/', '_');
        while (output.endsWith('=')) {
            output = output.subString(0, output.length()-1);
        }
        return output;
    }

    public static Long findSecondsBetween2DateTimes(DateTime dt1, DateTime dt2)
    {
        Integer intDays = dt1.Date().daysBetween(dt2.Date());
        Long seconds = dt2.getTime() - dt1.getTime();
        Long daysToSeconds = intDays * 24 * 60 * 60;
        return daysToSeconds + seconds;
    }

    public static void generateJWT() {

        String pkCS8PrivateKey = 'PRIVATE KEY OBTAINED VIA OPENSSL';

        DateTime utc0 = DateTime.newInstance(1970, 1, 1, 0, 0, 0);
        DateTime issueTime = DateTime.now();

        JSONGenerator gen = JSON.createGenerator(false);
        gen.writeStartObject();
        gen.writeStringField('iss', 'xxxxxxxxxxxx-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx@developer.gserviceaccount.com');
        gen.writeStringField('scope', 'https:\\/\\/www.googleapis.com\\/auth\\/fusiontables');
        gen.writeStringField('aud', 'https:\\/\\/accounts.google.com\\/o\\/oauth2\\/token');
        Long now = findSecondsBetween2DateTimes(utc0, issueTime);
        gen.writeNumberField('exp', now + 3500);
        gen.writeNumberField('iat', now);
        String claimSet = gen.getAsString().trim();
        System.debug(gen.getAsString());
        System.debug('Gen trimmed: ' + gen.getAsString().trim());

        String header = '{"alg":"RS256", "typ":"JWT"}';
        String signatureInput = base64URLEncode(blob.valueOf(header)) + '.' + base64URLEncode(blob.valueOf(claimSet));

        Blob signature = Crypto.sign('RSA', blob.valueOf(signatureInput), encodingUtil.base64decode(pkCS8PrivateKey));

        String jwt = signatureInput+'.'+base64URLEncode(signature);

        //System.debug(jwt);

        Http h = new Http();
        HttpRequest req = new HttpRequest();
        req.setHeader('Content-Type', 'application/x-www-form-urlencoded');
        req.setMethod('POST');
        req.setBody('grant_type=' + encodingUtil.urlEncode('urn:ietf:params:oauth:grant-type:jwt-bearer', 'UTF-8')+'&assertion=' + encodingUtil.urlEncode(jwt, 'UTF-8'));
        req.setEndpoint('https://accounts.google.com/o/oauth2/token');
        System.debug('Request: ' + req + ' BODY: ' + req.getBody());
        //System.debug(req.toString());
        HttpResponse res = h.send(req);
        System.debug(res + ' BODY: ' + res.getBody() + ' STATUS: ' + res.getStatus());
    }
}

服务帐户已设置好,并且已在 Google API 控制台中启用了 Fusion Tables API。我从 Google 通过 OpenSSL 提供的 PKCS12 p12 私钥文件中提取了 PKCS8 密钥,虽然我不熟悉这个过程,所以可能出错了。我确实注意到,通过我多次尝试提取该私钥中的值,Crypto 类直到我获得当前存储在 pkCS8PrivateKey 中的值才接受密钥值。如果我没记错这个过程,它首先将 PKCS12 文件转换为中间 pem 文件,然后提取 PKCS8 格式的私钥,并在另一个 pem 文件中输出。

我遇到的 400 'Bad Request' 错误的正文如下:

{
     "error" : "invalid_grant"
}

我也尝试过不在 iss 和 scope 参数中转义正斜杠,但这没有区别。我还允许通过远程站点安全设置访问“ https://accounts.google.com ”。

我编写此代码的最大来源是这个问题: Force.com Apex Code to generate Google API oAuth 2.0 JWT

该问题的创建者最终与我现在在同一条船上,因为他只能在尝试通过 Google 进行身份验证时检索一个 invalid_grant 错误。不幸的是,他的问题没有得到回答,所以,我在这里。

对于我面临的问题,我很感激任何可以提供的帮助。

4

2 回答 2

1

不幸的是,我不确定这是否可以使用 Apex。我创建了一个测试 Java 程序(它适用于 Google API)来观察 Java 生成的与 Apex 之间的差异。我注意到从两者生成的签名是不同的,这将其缩小到Crypto.sign()方法的输出。

我找到了这个链接,它提供了以下信息:

Apex Crypto 类通过 sign() 方法提供对数字签名的支持。以下注意事项适用:

  • 这两种算法是 RSA 和 RSA-SHA1,它们在功能上是等效的。
  • 需要采用 base64 解码形式的 PKCS8 格式的私钥。此私钥不应在 Apex 脚本中硬编码,而应存储在受保护的自定义设置或自定义表中的加密字段中。
  • 它等效于使用“ SHA1withRSA ”的 Java Signature.sign() 类方法。
  • 在 C# 中,它相当于 (1) 使用 SHA1Managed.ComputeHash() 对明文进行签名和 (2) 使用 RSACryptoServiceProvider.ComputeHash() 对生成的哈希进行签名。
  • 在功能上,它将从明文计算 SHA1 摘要,并使用提供的私钥使用 RSA 加密摘要。

我在这里强调了关键问题,我相信您需要等效的SHA256withRSA,这似乎不是 Crypto 类的选项(至少我无法弄清楚)。

所以,总而言之,我认为您的代码是正确的,但生成的签名不是。

于 2013-06-28T12:27:47.623 回答
0

构建 JWT 很棘手。您可以使用 Google API java 客户端库。 https://code.google.com/p/google-api-java-client/wiki/OAuth2#Service_Accounts

于 2013-06-21T21:26:49.833 回答