3

我最近分配的一个学校项目有一个我们必须完成的编码挑战。挑战有多个部分,最后一部分是上传到私有 GitHub 存储库,并通过在特定条件下发出 POST 请求来提交完成请求。

我已经成功完成了挑战的其他部分,并且一直在提交请求。提交必须遵循以下规则:

构建您的解决方案请求

首先,构造一个 JSON 字符串,如下所示:

{

    "github_url": "https://github.com/YOUR_ACCOUNT/GITHUB_REPOSITORY",

    "contact_email": "YOUR_EMAIL"

}

在 中填写您的电子邮件地址YOUR_EMAIL,以及包含您的解决方案的私有 Github 存储库YOUR_ACCOUNT/GITHUB_REPOSITORY。然后,使用 JSON 字符串作为正文部分向以下 URL 发出 HTTP POST 请求。

CHALLENGE_URL

内容类型

请求的 Content-Type: 必须是application/json.

授权

URL 受 HTTP 基本身份验证保护,RFC2617 第 2 章对此进行了说明,因此您必须在 POST 请求中提供 Authorization: 标头字段。

  • 对于 HTTP 基本身份验证的用户 ID,请使用您在 JSON 字符串中输入的相同电子邮件地址。
  • 对于密码,请提供符合 RFC6238 TOTP 的 10 位基于时间的一次性密码。

授权密码

要生成 TOTP 密码,您需要使用以下设置:

  • 您必须根据 RFC6238 生成正确的 TOTP 密码
  • TOTPTime Step X是 30 秒。T0为 0。
  • 用于HMAC-SHA-512哈希函数,而不是默认的HMAC-SHA-1.
  • 令牌共享密钥是用户 ID 后跟 ASCII 字符串值"APICHALLENGE"(不包括双引号)。

共享秘密示例

例如,如果 userid 是"email@example.com",则令牌共享密钥是"email@example.comAPICHALLENGE"(不带引号)。

如果您的 POST 请求成功,服务器将返回 HTTP 状态代码 200 。

我试图非常仔细地遵循这个大纲,并以不同的方式测试我的工作。但是,似乎我无法正确处理。我们应该从 Node 服务器后端发出请求。这是我到目前为止所做的。我创建了一个新的 npm 项目,npm init并安装了您将在下面的代码中看到的依赖项:

const axios = require('axios');
const base64 = require('base-64');
const utf8 = require('utf8');

const { totp } = require('otplib');


const reqJSON = 
{
    github_url: GITHUB_URL,
    contact_email: MY_EMAIL
}
const stringData = JSON.stringify(reqJSON);

const URL = CHALLENGE_URL;
const sharedSecret = reqJSON.contact_email + "APICHALLENGE";

totp.options = { digits: 10, algorithm: "sha512" }

const myTotp = totp.generate(sharedSecret);
const isValid = totp.check(myTotp, sharedSecret);

console.log("Token Info:", {myTotp, isValid});




const authStringUTF = reqJSON.contact_email + ":" + myTotp;
const bytes = utf8.encode(authStringUTF);
const encoded = base64.encode(bytes);



const createReq = async () =>
{

    try 
    {

        // set the headers
        const config = {
            headers: {
                'Content-Type': 'application/json',
                "Authorization": "Basic " + encoded
            }
        };

        console.log("Making req", {URL, reqJSON, config});

        const res = await axios.post(URL, stringData, config);
        console.log(res.data);
    }
    catch (err)
    {
        console.error(err.response.data);
    }
};

createReq();

据我了解,我不确定我在哪里犯了错误。我试图非常小心地理解这些要求。我已经简要查看了挑战概述的所有文档,并收集了在给定条件下正确生成 TOTP 所需的必要要求。

我发现 npm 包otplib可以通过我传入的选项来满足这些要求。

但是,我的解决方案是不正确的。当我尝试提交我的解决方案时,我收到错误消息,"Invalid token, wrong code". 有人可以帮我看看我做错了什么吗?

我真的不希望我所有的努力都白费,因为这是一个漫长的项目。

非常感谢您在这方面的时间和帮助。我很感激。

4

1 回答 1

4

软件包的自述文件otplib指出:

// TOTP defaults
{
  // ...includes all HOTP defaults
  createHmacKey: totpCreateHmacKey,
  epoch: Date.now(),
  step: 30,
  window: 0,
}

所以默认值epoch (T0)Date.now()RFC 标准。任务描述定义T00.

您需要将默认值更改epoch0

totp.options = { digits: 10, algorithm: "sha512", epoch: 0 }
于 2020-04-09T08:20:12.037 回答