4

我们有一个使用 firebase phone auth 在生产中运行的 react-native 应用程序。最近,我们收到了来自拥有新华为设备的用户无法使用 Firebase 对其电话号码进行身份验证的反馈。

由于很多用户开始遇到此问题,我们决定仅对 HarmonyOS 下的设备实施华为身份验证服务,并为其他用户保留常规的 firebase 电话身份验证。

在我们的 react-native 应用程序中集成华为 App Gallery Connect Auth SDK 后,我们能够接收 OTP 并使用用户登录credentialWithVerifyCode,我们还能够使用检索用户的令牌

idToken =(await (await AGCAuth.getInstance().currentUser()).getToken()).token;

idToken 是一个 JWT 令牌,看起来像这样

eyJhbGciOiJIUzUxMiJ9.eyJ0b2tlbiI6IjVCMzQ5OTM5ODBFNEYxRUQwNDBDOTBEMjA1Q0U4QTJCNzRFMTg3RkUyRDNDQzY4N0E3MUVCMUZFQ0VBMDZDQTEifQ.xtAXTzfpzqRHAvDP3fJjdctnNoFHFmqawWJBGqG4y3qBSeo1XNHFyNOPnL-V6BCmkpxGIO3eq2eYJShIJhad-A

内部的有效负载包含另一个令牌(不是 JWT),但我们认为这不是问题,我们还尝试了一个包含所有用户信息的令牌。

将 JWT 发送到我们的 .NET core 3.1 Web API 后,我们无法使用验证令牌JwtBearerExtensions.AddJwtBearer

services
.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
.AddJwtBearer(
    JwtBearerDefaults.AuthenticationScheme,
    o =>
    {
        o.Authority = "https://oauth-login.cloud.huawei.com";
    });

权限设置为https://oauth-login.cloud.huawei.com哪个发行人设置为https://accounts.huawei.com哪个似乎关闭,因为在 Firebase 中,发行人看起来更像:https://securetoken.google.com/YOUR_PROJECT

我们得到的错误是:

    Microsoft.IdentityModel.Tokens.SecurityTokenInvalidSignatureException: IDX10503: Signature validation failed. Keys tried: '[PII is hidden. For more details, see https://aka.ms/IdentityModel/PII.]'.
Exceptions caught:
 '[PII is hidden. For more details, see https://aka.ms/IdentityModel/PII.]'.
token: '[PII is hidden. For more details, see https://aka.ms/IdentityModel/PII.]'.
   at System.IdentityModel.Tokens.Jwt.JwtSecurityTokenHandler.ValidateSignature(String token, TokenValidationParameters validationParameters)
   at System.IdentityModel.Tokens.Jwt.JwtSecurityTokenHandler.ValidateToken(String token, TokenValidationParameters validationParameters, SecurityToken& validatedToken)
   at Microsoft.AspNetCore.Authentication.JwtBearer.JwtBearerHandler.HandleAuthenticateAsync()
info: Microsoft.AspNetCore.Authentication.JwtBearer.JwtBearerHandler[7]

发生错误可能是因为权威不正确。

我们无法弄清楚问题出在哪里,我们无法找到验证令牌所需的权限。

4

2 回答 2

0

建议您使用以下方法来验证令牌。

try {

  AuthAccessToken authAccessToken = agcAuth.verifyAccessToken(accessToken, true);
} catch (AGCAuthException e) {
 if (e.getErrorCode() == AuthErrorCode.VERIFY_ACCESS_TOKEN_ACCESS_TOKEN_IS_NULL.getErrorCode()) {
     // The user access token is empty.
  } else if (e.getErrorCode() == AuthErrorCode.JWT_VERIFY_FAILED.getErrorCode()) {
     // Failed to authenticate the user access token.
  } else if (e.getErrorCode() == AuthErrorCode.JWT_EXPIRE.getErrorCode()) {
     // The user access token has expired.
  } else if (e.getErrorCode() == AuthErrorCode.JWT_REVOKED.getErrorCode()) {
     // The user access token has been revoked.
  }

有关更多详细信息,请参阅此文档

于 2021-11-09T03:04:26.207 回答
0

经过更多调查并联系华为开发人员支持后,我们发现:

华为Auth服务生成的token使用HS512作为签名算法,看{"alg": "HS512"}你是否把token放到jwt.io调试器中。

让我们感到困惑的是,算法 HS512 在文档中被列为支持,但实际上并不支持它以及 .net 核心身份模型中的所有对称算法。

Github问题

我们剩下的唯一解决方案是按照他们的文档中所述手动验证令牌,这种解决方案不适合我们,因为 firebase 身份验证依赖于我们应用程序中的开放 ID 连接。

于 2021-11-12T17:04:21.023 回答