4

我在 Go 中使用服务器端身份验证刷新 AWS Cognito 令牌时遇到问题。我能够得到,id_tokenaccess_token方法。我已经创建了一个带有秘密的用户池客户端,所以我必须在.refresh_tokencognitoidentityprovider.AdminInitiateAuthSECRET_HASHAuthParameters

登录时这一切都很好,但是刷新令牌时相同的秘密哈希不起作用。我已经三次检查了代码并验证了我发送的秘密哈希在登录和刷新令牌时是相同的(它应该是相同的,因为它使用不会改变的用户名、clientID 和 clientSecret)。

AWS API 返回以下错误:

{
"error": "NotAuthorizedException: Unable to verify secret hash for client myClientIdHere\n\tstatus code: 400, request id: c186ecf2-57a7-11e8-a01e-f97ed64650c9"
}

我已经检查了设备跟踪是否关闭,因为文档提到在服务器端刷新令牌时这是一个问题(注意在“管理员身份验证流程”下,https://docs.aws.amazon.com/cognito/latest/ developerguide/amazon-cognito-user-pools-authentication-flow.html#amazon-cognito-user-pools-server-side-authentication-flow)。

我的刷新代码是:

AWSRefreshToken := aws.String(refreshToken)
secretHash := secretHash(email, auth.Config.ClientID, auth.Config.ClientSecret)
AWSUserPoolID := aws.String(auth.Config.UserPoolID)

input := cognitoidentityprovider.AdminInitiateAuthInput{
    AuthFlow: aws.String("REFRESH_TOKEN_AUTH"),
    AuthParameters: map[string]*string{
        "REFRESH_TOKEN": AWSRefreshToken,
        "SECRET_HASH":   &secretHash,
    },
    ClientId:   &auth.Config.ClientID,
    UserPoolId: AWSUserPoolID,
}

output, err := auth.AWSCognitoIdentityProvider.AdminInitiateAuth(&input)

秘密哈希码(来自https://stackoverflow.com/a/46163403/3515197):

func secretHash(username, clientID, clientSecret string) string {
    mac := hmac.New(sha256.New, []byte(clientSecret))
    mac.Write([]byte(username + clientID))
    return base64.StdEncoding.EncodeToString(mac.Sum(nil))
}

我已经检查了其他 Stack Overflow 问题,但他们只提到了设备跟踪问题并且需要秘密哈希。我在这里想念什么?

4

2 回答 2

9

在生成秘密哈希时使用用户 ID(子)而不是电子邮件。

secretHash := secretHash(sub, auth.Config.ClientID, auth.Config.ClientSecret)
于 2018-09-12T16:30:26.040 回答
0

Javascript中也是如此。在工作中,我们有一个用户名属性设置为电子邮件的 Cognito 用户池,请参见屏幕截图

在我的设置中,一些 API 可以使用电子邮件来计算 Secret Hash,但不能使用 InitialAuth (REFRESH_TOKEN_AUTH/REFRESH_TOKEN)。

以下是使用电子邮件作为我要计算的用户名的 API 列表:

  • 启动验证(USER_PASSWORD_AUTH)
  • 报名
  • 忘记密码
  • 确认忘记密码
  • 确认注册
  • 重新发送确认码
于 2020-08-14T13:46:08.323 回答