我有时(但并非总是)从 Google 身份工具包中收到“纯文本太大”的错误。它似乎在应该尝试验证签名(使用 RSA)的部分中。由于它正在验证有效负载的 SHA256 哈希,因此明文大小不应有任何变化。
如果我记录它尝试使用的令牌,并将其与 Google RSA 证书一起提供给https://jwt.io/的调试器(来自https://www.googleapis.com/identitytoolkit/v3/relyingparty/ publicKeys ; 使用 jwt.io 放在顶部“kid”下的红色框中的密钥标识符),它表示签名有效。
这只发生在一部分时间里,也许是一半多一点。如果我重复验证,它似乎很好。
这似乎只发生在新的身份验证上;如果它已经过身份验证,那么一切正常,即使我当前没有使用会话 cookie:我的代码验证每个请求的 gtoken 身份验证。一旦我登录,一切都很好,直到我退出(再次,通过 gitkit)。但是,如果我稍后再次登录,我很可能会遇到此错误。
我将 App Engine 用于我的基础架构。dev_appserver 和已部署的 App Engine 以及使用 JavaScript gitkit 库的桌面浏览器和使用 Objective C gitkit 库的 iOS 应用程序都会发生这种情况。(我没有针对 dev_appserver 使用 iOS 进行测试,仅在部署中。)
我正在使用的代码如下所示:
gtoken = cookie["gtoken"].value
logging.debug("Verifying Google Identity Toolkit token: %s",
gtoken)
gitkit_user = gitkit_instance.VerifyGitkitToken(gtoken)
堆栈跟踪如下(从上面引用的行开始):
File "/base/data/home/apps/redacted/redacted.py", line 218, in redacted:
gitkit_user = gitkit_instance.VerifyGitkitToken(gtoken)
File "/base/data/home/apps/redacted/lib/identitytoolkit/gitkitclient.py", line 266, in VerifyGitkitToken
parsed = crypt.verify_signed_jwt_with_certs(jwt, certs, aud)
File "/base/data/home/apps/redacted/lib/oauth2client/crypt.py", line 240, in verify_signed_jwt_with_certs
_verify_signature(message_to_sign, signature, certs.values())
File "/base/data/home/apps/redacted/lib/oauth2client/crypt.py", line 119, in _verify_signature
if verifier.verify(message, signature):
File "/base/data/home/apps/redacted/lib/oauth2client/_pycrypto_crypt.py", line 52, in verify
SHA256.new(message), signature)
File "/base/data/home/runtimes/python27/python27_lib/versions/third_party/pycrypto-2.6/Crypto/Signature/PKCS1_v1_5.py", line 148, in verify
m = self._key.encrypt(S, 0)[0]
File "/base/data/home/runtimes/python27/python27_lib/versions/third_party/pycrypto-2.6/Crypto/PublicKey/RSA.py", line 150, in encrypt
return pubkey.pubkey.encrypt(self, plaintext, K)
File "/base/data/home/runtimes/python27/python27_lib/versions/third_party/pycrypto-2.6/Crypto/PublicKey/pubkey.py", line 75, in encrypt
ciphertext=self._encrypt(plaintext, K)
File "/base/data/home/runtimes/python27/python27_lib/versions/third_party/pycrypto-2.6/Crypto/PublicKey/RSA.py", line 224, in _encrypt
return (self.key._encrypt(c),)
ValueError: Plaintext too large
仅当有效负载的大小超过 RSA 密钥的大小时,才会出现“纯文本太大”错误。由于它正在针对 2048 位 RSA 密钥验证 SHA256 哈希,所以应该没问题,所以我想知道有时从 googleapis.com 加载密钥是否有问题。我的下一步是使用 API stats 模块在发生这种情况的请求中查找 urlfetch 调用,并增加 _pycrypto_crypt.py 以记录它试图验证的 RSA 密钥。但我想我会在 Stack Overflow 上检查一下,看看是否有人已经走上了这条路。
更新:通过一些额外的日志记录,我学到了一些东西。首先,gitkit API(或其使用的库之一)不使用 JWT 标头中指定的密钥 ID,而是迭代尝试 Google Identity Toolkit 密钥集中的每个密钥。其次,当我在有足够的日志记录时遇到错误时,它一直在测试真正在密钥集中的密钥之一,因此这使我关于加载密钥问题的理论无效。但它确实是在尝试针对 2048 位密钥验证 256 字节字符串,所以它应该完全没问题。
最后,尽管它通常会遍历所有键,但在我遇到此错误时,它会在尝试的第一个键上遇到错误。这让我想知道,在某些情况下,我是否在早期导入了一个损坏的 pycrypto。
正如您从回溯中看到的那样,我使用的是 Google 提供的 pycrypto,尽管在我的应用程序的“lib”目录(位于 sys.path 中)中有一个本地编译的,当我在 Google 中出售时保存在那里身份工具包。