Résoudre: Impossible de vérifier le hachage secret pour le client dans les pools d'utilisateurs Amazon Cognito

Question

Je suis bloqué dans le processus "Amazon Cognito Identity user pools".

J'ai essayé tous les codes possibles pour authentifier l'utilisateur dans les pools utilisateurs cognito. Mais je reçois toujours une erreur en disant "Erreur: Impossible de vérifier le hachage secret pour le client 4b ******* fd".

Voici le code:

AWS.config.region = 'us-east-1'; // Region 
      AWS.config.credentials = new AWS.CognitoIdentityCredentials({ 
       IdentityPoolId: 'us-east-1:b64bb629-ec73-4569-91eb-0d950f854f4f' 
      }); 

      AWSCognito.config.region = 'us-east-1'; 
      AWSCognito.config.credentials = new AWS.CognitoIdentityCredentials({ 
       IdentityPoolId: 'us-east-1:b6b629-er73-9969-91eb-0dfffff445d' 
      }); 

      AWSCognito.config.update({accessKeyId: 'AKIAJNYLRONAKTKBXGMWA', secretAccessKey: 'PITHVAS5/UBADLU/dHITesd7ilsBCm'}) 

      var poolData = { 
       UserPoolId : 'us-east-1_l2arPB10', 
       ClientId : '4bmsrr65ah3oas5d4sd54st11k' 
      }; 
      var userPool = new AWSCognito.CognitoIdentityServiceProvider.CognitoUserPool(poolData); 

      var userData = { 
       Username : 'ronakpatel@gmail.com', 
       Pool : userPool 
      }; 

      var cognitoUser = new AWSCognito.CognitoIdentityServiceProvider.CognitoUser(userData); 

      cognitoUser.confirmRegistration('123456', true,function(err, result) { 
      if (err) { 
       alert(err); 
       return; 
      } 
      console.log('call result: ' + result); 
     }); 

S'il vous plaît aider!

Answer 1

Il semble que AWS Cognito ne gère pas parfaitement le secret client. Cela fonctionnera dans un futur proche mais pour l'instant c'est toujours une version bêta. Pour moi, cela fonctionne très bien pour une application sans un secret client, mais échoue pour une application avec un secret client.

Ainsi, dans votre pool d'utilisateurs, essayez de créer une nouvelle application sans générer de secret client. Ensuite, utilisez cette application pour vous inscrire à un nouvel utilisateur ou pour confirmer votre inscription.

Answer 2

ceci est un exemple de code php que j'utilise pour générer le hachage secrète

<?php 
    $userId = "aaa"; 
    $clientId = "bbb"; 
    $clientSecret = "ccc"; 
    $s = hash_hmac('sha256', $userId.$clientId, $clientSecret, true); 
    echo base64_encode($s); 
?> 

dans ce cas, le résultat est: DdSuILDJ2V84zfOChcn6TfgmlfnHsUYq0J6c01QV43I =

Answer 3

Pour toute personne intéressée à utiliser AWS Lambda pour signer un utilisateur utilisant le SDK AWS JS, voici les étapes que j'ai effectuées:

Créer une autre fonction lambda en python pour générer la clé:

import hashlib 
import hmac 
import base64 
    secretKey = "key" 
    clientId = "clientid" 
    digest = hmac.new(secretKey, msg=username + clientId, digestmod=hashlib.sha256).digest() 
    signature = base64.b64encode(digest).decode() 

Appelez la fonction via la fonction nodeJS dans AWS. La signature a agi comme le hachage secret Cognito

Note: La réponse est basé en grande partie de la réponse de George Campbell dans le lien suivant: Calculating a SHA hash with a string + secret key in python

Answer 4

Selon les Docs: http://docs.aws.amazon.com/cognito/latest/developerguide/setting-up-the-javascript-sdk.html

Le Javascript SDK ne fonctionne pas soutenir les applications avec un secret client.

Les instructions indiquent maintenant que vous devez décocher la case "Générer le secret client" lors de la création de l'application pour le pool d'utilisateurs.

Answer 5

En Java, vous pouvez utiliser ce code:

private String getSecretHash(String email, String appClientId, String appSecretKey) throws Exception { 
    byte[] data = (email + appClientId).getBytes("UTF-8"); 
    byte[] key = appSecretKey.getBytes("UTF-8"); 

    return Base64.encodeAsString(HmacSHA256(data, key)); 
} 

static byte[] HmacSHA256(byte[] data, byte[] key) throws Exception { 
    String algorithm = "HmacSHA256"; 
    Mac mac = Mac.getInstance(algorithm); 
    mac.init(new SecretKeySpec(key, algorithm)); 
    return mac.doFinal(data); 
} 

Answer 6

J'ai eu le même problème dans le .NET SDK.

Voilà comment je résolu, au cas où quelqu'un d'autre a besoin il:

public static class CognitoHashCalculator 
{ 
    public static string GetSecretHash(string username, string appClientId, string appSecretKey) 
    { 
     var dataString = username + appClientId; 

     var data = Encoding.UTF8.GetBytes(dataString); 
     var key = Encoding.UTF8.GetBytes(appSecretKey); 

     return Convert.ToBase64String(HmacSHA256(data, key)); 
    } 

    public static byte[] HmacSHA256(byte[] data, byte[] key) 
    { 
     using (var shaAlgorithm = new System.Security.Cryptography.HMACSHA256(key)) 
     { 
      var result = shaAlgorithm.ComputeHash(data); 
      return result; 
     } 
    } 
} 

L'inscription ressemble alors à ceci:

public class CognitoSignUpController 
{ 
    private readonly IAmazonCognitoIdentityProvider _amazonCognitoIdentityProvider; 

    public CognitoSignUpController(IAmazonCognitoIdentityProvider amazonCognitoIdentityProvider) 
    { 
     _amazonCognitoIdentityProvider = amazonCognitoIdentityProvider; 
    } 

    public async Task<bool> SignUpAsync(string userName, string password, string email) 
    { 
     try 
     { 
      var request = CreateSignUpRequest(userName, password, email); 
      var authResp = await _amazonCognitoIdentityProvider.SignUpAsync(request); 

      return true; 
     } 
     catch 
     { 
      return false; 
     } 
    } 

    private static SignUpRequest CreateSignUpRequest(string userName, string password, string email) 
    { 
     var clientId = ConfigurationManager.AppSettings["ClientId"]; 
     var clientSecretId = ConfigurationManager.AppSettings["ClientSecretId"]; 

     var request = new SignUpRequest 
     { 
      ClientId = clientId, 
      SecretHash = CognitoHashCalculator.GetSecretHash(userName, clientId, clientSecretId), 
      Username = userName, 
      Password = password, 
     }; 

     request.UserAttributes.Add("email", email); 
     return request; 
    } 
} 

Answer 7

Comme tout le monde a affiché leur langue, le nœud est ici (et cela fonctionne dans le navigateur avec browserify-crypto, utilisé automatiquement si vous utilisez webpack ou browserify):

const crypto = require('crypto'); 

... 

crypto.createHmac('SHA256', clientSecret) 
    .update(username + clientId) 
    .digest('base64') 

Answer 8

Solution pour golang. On dirait que cela devrait être ajouté au SDK.

import (
    "crypto/hmac" 
    "crypto/sha256" 
    "encoding/base64" 
) 

func SecretHash(username, clientID, clientSecret string) string { 
    mac := hmac.New(sha256.New, []byte(clientSecret)) 
    mac.Write([]byte(username + ClientID)) 
    return base64.StdEncoding.EncodeToString(mac.Sum(nil)) 
} 

Answer 9

C++ avec le framework Qt

QByteArray MyObject::secretHash(
    const QByteArray& email, 
    const QByteArray& appClientId, 
    const QByteArray& appSecretKey) 
{ 
      QMessageAuthenticationCode code(QCryptographicHash::Sha256); 
      code.setKey(appSecretKey); 
      code.addData(email); 
      code.addData(appClientId); 
      return code.result().toBase64(); 
};