4

我正在尝试使用 AuthFlowUSER_SRP_AUTH进行用户登录。我在发起验证请求的响应中收到“PASSWORD_VERIFIER”质询。在应对这一挑战时,我不确定我应该传递什么作为PASSWORD_CLAIM_SIGNATURE. 我根据文档和java代码尝试了不同的值,但没有成功。

我正在使用下面的代码作为respondToAuthChallenge方法:

$date = date('D M d H:i:s T Y');

$srp = new Srp();
$a = $srp->getRandomSeed();
$A = $srp->generateA($a);

$challengeParameters = $result->get('ChallengeParameters');

$s = $srp->getRandomSeed();
$x = $srp->generateX($s, 'MY_USERNAME', 'MY_PASSWORD');
$S = $srp->generateS_Client($A, $challengeParameters['SRP_B'], $a, $x);
$K = $srp->generateK($S);

$response = $client->respondToAuthChallenge([
    'ChallengeName'      => 'PASSWORD_VERIFIER',
    'ClientId'           => 'CLIENT_ID',
    'ChallengeResponses' => [
        'TIMESTAMP'                   => $date,
        'USERNAME'                    => $challengeParameters['USER_ID_FOR_SRP'],
        'PASSWORD_CLAIM_SECRET_BLOCK' => $challengeParameters['SECRET_BLOCK'],
        'PASSWORD_CLAIM_SIGNATURE'    => hash_hmac('sha256', $K, $challengeParameters['SALT'])
    ]
]);

我用过这个 PHP SRP 客户端:https ://github.com/falkmueller/srp/

respondToAuthChallenge请求的响应中,我收到此错误

400 Bad Request` response:
{"__type":"NotAuthorizedException","message":"Incorrect username or password."}

这个错误很可能是由一个不正确的PASSWORD_CLAIM_SIGNATURE. 因为我还没有真正找到这个键应该包含什么作为一个值,只是根据我找到的文档和 java 代码尝试了一些东西。

4

1 回答 1

1

该值PASSWORD_CLAIM_SIGNATURE的基础似乎没有在任何地方记录,但查看我派生的一些 AWS 源代码。

将以下内容连接成一个字符串:

  • cognito 用户池 ID,不包括区域
  • 来自上一次调用的 USER_ID_FOR_SRP
  • 上一次调用的 SECRET_BLOCK
  • 时间戳

然后对该字符串执行 hmac sha 256 。

请注意,TIMESTAMP 具有格式(也未记录):

TIMESTAMP 格式应为 EEE MMM d HH:mm:ss z yyyy 英文。

来源:此文件的第 299 行

于 2020-11-24T10:50:56.257 回答