অ্যামাজন কগনিটো ইউজারপুলগুলিতে ক্লায়েন্টের জন্য গোপন হ্যাশ যাচাই করতে অক্ষম

আমি "অ্যামাজন কগনিটো আইডেন্টিটি ব্যবহারকারী পুল" প্রক্রিয়াতে আটকে আছি।

কগনিটো ইউজারপুলে ব্যবহারকারীর অনুমোদনের জন্য আমি সমস্ত সম্ভাব্য কোড চেষ্টা করেছি। তবে আমি সর্বদা "ত্রুটি: ক্লায়েন্ট 4 বি ******* এফডি এর জন্য গোপন হ্যাশ যাচাই করতে অক্ষম" বলে ত্রুটি পাই ।

এখানে কোড:

AWS.config.region = 'us-east-1'; // Region
AWS.config.credentials = new AWS.CognitoIdentityCredentials({
    IdentityPoolId: 'us-east-1:b64bb629-ec73-4569-91eb-0d950f854f4f'
});

AWSCognito.config.region = 'us-east-1';
AWSCognito.config.credentials = new AWS.CognitoIdentityCredentials({
    IdentityPoolId: 'us-east-1:b6b629-er73-9969-91eb-0dfffff445d'
});

AWSCognito.config.update({accessKeyId: 'AKIAJNYLRONAKTKBXGMWA', secretAccessKey: 'PITHVAS5/UBADLU/dHITesd7ilsBCm'})

var poolData = { 
    UserPoolId : 'us-east-1_l2arPB10',
    ClientId : '4bmsrr65ah3oas5d4sd54st11k'
};
var userPool = new AWSCognito.CognitoIdentityServiceProvider.CognitoUserPool(poolData);

var userData = {
     Username : 'ronakpatel@gmail.com',
     Pool : userPool
};

var cognitoUser = new AWSCognito.CognitoIdentityServiceProvider.CognitoUser(userData);

cognitoUser.confirmRegistration('123456', true,function(err, result) {
if (err) {
    alert(err);
    return;
}
console.log('call result: ' + result);
});

দেখে মনে হচ্ছে বর্তমানে এডাব্লুএস কগনিটো ক্লায়েন্ট সিক্রেট পুরোপুরি পরিচালনা করে না। এটি অদূর ভবিষ্যতে কাজ করবে তবে আপাতত এটি একটি বিটা সংস্করণ।

আমার জন্য এটি ক্লায়েন্ট সিক্রেট ব্যতীত কোনও অ্যাপ্লিকেশনটির জন্য দুর্দান্ত কাজ করছে তবে ক্লায়েন্ট সিক্রেট সহ একটি অ্যাপ্লিকেশন ব্যর্থ হয়।

সুতরাং আপনার ব্যবহারকারী পুলে ক্লায়েন্টের গোপনীয়তা তৈরি না করেই একটি নতুন অ্যাপ তৈরি করার চেষ্টা করুন। তারপরে কোনও নতুন ব্যবহারকারীর সাইন আপ করতে বা নিবন্ধকরণ নিশ্চিত করতে সেই অ্যাপটি ব্যবহার করুন।

দস্তাবেজ অনুসারে: http://docs.aws.amazon.com/cognito/latest/developerguide/setting-up-the-javascript-sdk.html

জাভাস্ক্রিপ্ট এসডিকে ক্লায়েন্ট সিক্রেট সহ অ্যাপ্লিকেশনগুলিকে সমর্থন করে না।

এখনই নির্দেশাবলীতে বলা হয়েছে যে ইউজার পুলের জন্য অ্যাপটি তৈরি করার সময় আপনার "ক্লায়েন্ট সিক্রেট তৈরি করুন" আনচেক করা দরকার।

এটি কয়েক বছর দেরি হতে পারে তবে কেবল "ক্লায়েন্ট সিক্রেট জেনারেট করুন" অপশনটি নির্বাচন করুন এবং এটি আপনার ওয়েব ক্লায়েন্টদের জন্য কাজ করবে।

যেহেতু প্রত্যেকে প্রত্যেকে তাদের ভাষা পোস্ট করেছে, তাই এখানে নোড রয়েছে (এবং এটি ব্রাউজারে কাজ করে browserify-crypto, আপনি ওয়েবপ্যাক ব্যবহার করেন বা ব্রাউজ করুন যদি স্বয়ংক্রিয়ভাবে ব্যবহৃত হয়):

const crypto = require('crypto');

...

crypto.createHmac('SHA256', clientSecret)
  .update(username + clientId)
  .digest('base64')

নেট নেট এসকেকে আমারও একই সমস্যা ছিল।

অন্য কারওর প্রয়োজনে আমি কীভাবে সমাধান করেছি তা এখানে:

public static class CognitoHashCalculator
{
    public static string GetSecretHash(string username, string appClientId, string appSecretKey)
    {
        var dataString = username + appClientId;

        var data = Encoding.UTF8.GetBytes(dataString);
        var key = Encoding.UTF8.GetBytes(appSecretKey);

        return Convert.ToBase64String(HmacSHA256(data, key));
    }

    public static byte[] HmacSHA256(byte[] data, byte[] key)
    {
        using (var shaAlgorithm = new System.Security.Cryptography.HMACSHA256(key))
        {
            var result = shaAlgorithm.ComputeHash(data);
            return result;
        }
    }
}

সাইন আপ করার পরে এটির মতো দেখাচ্ছে:

public class CognitoSignUpController
{
    private readonly IAmazonCognitoIdentityProvider _amazonCognitoIdentityProvider;

    public CognitoSignUpController(IAmazonCognitoIdentityProvider amazonCognitoIdentityProvider)
    {
        _amazonCognitoIdentityProvider = amazonCognitoIdentityProvider;
    }

    public async Task<bool> SignUpAsync(string userName, string password, string email)
    {
        try
        {
            var request = CreateSignUpRequest(userName, password, email);
            var authResp = await _amazonCognitoIdentityProvider.SignUpAsync(request);

            return true;
        }
        catch
        {
            return false;
        }
    }

    private static SignUpRequest CreateSignUpRequest(string userName, string password, string email)
    {
        var clientId = ConfigurationManager.AppSettings["ClientId"];
        var clientSecretId = ConfigurationManager.AppSettings["ClientSecretId"];

        var request = new SignUpRequest
        {
            ClientId = clientId,
            SecretHash = CognitoHashCalculator.GetSecretHash(userName, clientId, clientSecretId),
            Username = userName,
            Password = password,
        };

        request.UserAttributes.Add("email", email);
        return request;
    }
}

এডাব্লুএস ল্যাম্বডা ব্যবহার করে যে কোনও ব্যবহারকারীকে এডাব্লুএস জেএস এসডিকে ব্যবহার করে সাইন আপ করতে আগ্রহী যে কেউ, এই পদক্ষেপগুলি আমি করেছি:

কী উত্পন্ন করতে পাইথনে আরও একটি ল্যাম্বদা ফাংশন তৈরি করুন:

import hashlib
import hmac
import base64

secretKey = "key"
clientId = "clientid"
digest = hmac.new(secretKey,
                  msg=username + clientId,
                  digestmod=hashlib.sha256
                 ).digest()
signature = base64.b64encode(digest).decode()

এডাব্লুএসে নোডজেএস ফাংশনের মাধ্যমে ফাংশনটি কল করুন। স্বাক্ষরটি কগনিটোর গোপন হ্যাশ হিসাবে কাজ করেছিল

দ্রষ্টব্য: উত্তরটি নীচের লিঙ্কে জর্জ ক্যাম্পবেলের উত্তরের উপর ভিত্তি করে তৈরি হয়েছে: পাইথনে স্ট্রিং + গোপন কী সহ একটি এসএএএ হ্যাশ গণনা করা হচ্ছে

জন্য সমাধান golang। দেখে মনে হচ্ছে এটি এসডিকে যুক্ত করা উচিত।

import (
    "crypto/hmac"
    "crypto/sha256"
    "encoding/base64"
)

func SecretHash(username, clientID, clientSecret string) string {
    mac := hmac.New(sha256.New, []byte(clientSecret))
    mac.Write([]byte(username + ClientID))
    return base64.StdEncoding.EncodeToString(mac.Sum(nil))
}

সিক্রেটহ্যাশ সহ নোডজেএসের সমাধান

এটি নির্বোধ বলে মনে হয় যে নডজেএসে প্রকাশিত হবে না বলে এডাব্লুএস এসডিকে থেকে গোপন কীটি সরিয়ে নিয়েছে।

আমি আনতে আটকাচ্ছে এবং ব্যবহার কুচি-কুচি করিয়া কাটা বস্তু কী তে যোগ করে NodeJS কর্মরত বুঝেছি @Simon Buchan এর উত্তর।

cognito.js

import { CognitoUserPool, CognitoUserAttribute, CognitoUser } from 'amazon-cognito-identity-js'
import crypto from 'crypto'
import * as fetchIntercept from './fetch-intercept'

const COGNITO_SECRET_HASH_API = [
  'AWSCognitoIdentityProviderService.ConfirmForgotPassword',
  'AWSCognitoIdentityProviderService.ConfirmSignUp',
  'AWSCognitoIdentityProviderService.ForgotPassword',
  'AWSCognitoIdentityProviderService.ResendConfirmationCode',
  'AWSCognitoIdentityProviderService.SignUp',
]

const CLIENT_ID = 'xxx'
const CLIENT_SECRET = 'xxx'
const USER_POOL_ID = 'xxx'

const hashSecret = (clientSecret, username, clientId) => crypto.createHmac('SHA256', clientSecret)
  .update(username + clientId)
  .digest('base64')

fetchIntercept.register({
  request(url, config) {
    const { headers } = config
    if (headers && COGNITO_SECRET_HASH_API.includes(headers['X-Amz-Target'])) {
      const body = JSON.parse(config.body)
      const { ClientId: clientId, Username: username } = body
      // eslint-disable-next-line no-param-reassign
      config.body = JSON.stringify({
        ...body,
        SecretHash: hashSecret(CLIENT_SECRET, username, clientId),
      })
    }
    return [url, config]
  },
})

const userPool = new CognitoUserPool({
  UserPoolId: USER_POOL_ID,
  ClientId: CLIENT_ID,
})

const register = ({ email, password, mobileNumber }) => {
  const dataEmail = { Name: 'email', Value: email }
  const dataPhoneNumber = { Name: 'phone_number', Value: mobileNumber }

  const attributeList = [
    new CognitoUserAttribute(dataEmail),
    new CognitoUserAttribute(dataPhoneNumber),
  ]

  return userPool.signUp(email, password, attributeList, null, (err, result) => {
    if (err) {
      console.log((err.message || JSON.stringify(err)))
      return
    }
    const cognitoUser = result.user
    console.log(`user name is ${cognitoUser.getUsername()}`)
  })
}

export {
  register,
}

ফেচ-ইনসেপ্টর.জেএস ( https://github.com/werk85/fetch-intercep/blob/develop/src/index.js এর কাঁটাচামচ থেকে নোডজেএসের জন্য ফোর্ক এবং সম্পাদিত )

let interceptors = []

if (!global.fetch) {
  try {
    // eslint-disable-next-line global-require
    global.fetch = require('node-fetch')
  } catch (err) {
    throw Error('No fetch available. Unable to register fetch-intercept')
  }
}
global.fetch = (function (fetch) {
  return (...args) => interceptor(fetch, ...args)
}(global.fetch))

const interceptor = (fetch, ...args) => {
  const reversedInterceptors = interceptors.reduce((array, _interceptor) => [_interceptor].concat(array), [])
  let promise = Promise.resolve(args)

  // Register request interceptors
  reversedInterceptors.forEach(({ request, requestError }) => {
    if (request || requestError) {
      promise = promise.then(_args => request(..._args), requestError)
    }
  })

  // Register fetch call
  promise = promise.then(_args => fetch(..._args))

  // Register response interceptors
  reversedInterceptors.forEach(({ response, responseError }) => {
    if (response || responseError) {
      promise = promise.then(response, responseError)
    }
  })

  return promise
}

const register = (_interceptor) => {
  interceptors.push(_interceptor)
  return () => {
    const index = interceptors.indexOf(_interceptor)
    if (index >= 0) {
      interceptors.splice(index, 1)
    }
  }
}

const clear = () => {
  interceptors = []
}

export {
  register,
  clear,
}

জাভাতে আপনি এই কোডটি ব্যবহার করতে পারেন:

private String getSecretHash(String email, String appClientId, String appSecretKey) throws Exception {
    byte[] data = (email + appClientId).getBytes("UTF-8");
    byte[] key = appSecretKey.getBytes("UTF-8");

    return Base64.encodeAsString(HmacSHA256(data, key));
}

static byte[] HmacSHA256(byte[] data, byte[] key) throws Exception {
    String algorithm = "HmacSHA256";
    Mac mac = Mac.getInstance(algorithm);
    mac.init(new SecretKeySpec(key, algorithm));
    return mac.doFinal(data);
}

আমাজন জাভা অ্যাপ্লিকেশন কোড সহ তাদের ডকুমেন্টেশনে অ্যামাজন কগনিটোর জন্য কীভাবে কম্পিউটারে সিক্রেটহ্যাশ মানগুলি গণনা করে তা উল্লেখ করে Amazon এখানে এই কোডটি বোটো 3 পাইথন এসডিকে নিয়ে কাজ করে ।

আপনি নীচে আপনার App clientsবাম দিকের মেনুটি খুঁজে পেতে পারেন General settings। সেগুলি পান App client idএবং App client secretতৈরি করুন SECRET_HASH। আপনার আরও ভাল বোঝার জন্য আমি প্রতিটি লাইনের সমস্ত আউটপুট মন্তব্য করেছি।

import hashlib
import hmac
import base64

app_client_secret = 'u8f323eb3itbr3731014d25spqtv5r6pu01olpp5tm8ebicb8qa'
app_client_id = '396u9ekukfo77nhcfbmqnrec8p'
username = 'wasdkiller'

# convert str to bytes
key = bytes(app_client_secret, 'latin-1')  # b'u8f323eb3itbr3731014d25spqtv5r6pu01olpp5tm8ebicb8qa'
msg = bytes(username + app_client_id, 'latin-1')  # b'wasdkiller396u9ekukfo77nhcfbmqnrec8p'

new_digest = hmac.new(key, msg, hashlib.sha256).digest()  # b'P$#\xd6\xc1\xc0U\xce\xc1$\x17\xa1=\x18L\xc5\x1b\xa4\xc8\xea,\x92\xf5\xb9\xcdM\xe4\x084\xf5\x03~'
SECRET_HASH = base64.b64encode(new_digest).decode()  # UCQj1sHAVc7BJBehPRhMxRukyOoskvW5zU3kCDT1A34=

ইন boto 3 ডকুমেন্টেশন, আমরা সময় অনেক সম্পর্কে জিজ্ঞাসা দেখতে পারেন SECRET_HASH। সুতরাং উপরের কোড লাইনগুলি আপনাকে এটি তৈরি করতে সহায়তা করেSECRET_HASH ।

আপনি যদি কোনও অ্যাপ্লিকেশন তৈরি করার সময় SECRET_HASHকেবল আনচেক ব্যবহার করতে না চান Generate client secret।

এটি একটি নমুনা পিএইচপি কোড যা আমি গোপন হ্যাশ উত্পন্ন করতে ব্যবহার করি

<?php
    $userId = "aaa";
    $clientId = "bbb";
    $clientSecret = "ccc";
    $s = hash_hmac('sha256', $userId.$clientId, $clientSecret, true);
    echo base64_encode($s);
?>

এই ক্ষেত্রে ফলাফল:

DdSuILDJ2V84zfOChcn6TfgmlfnHsUYq0J6c01QV43I=

জাভা এবং .NET এর জন্য আপনাকে নামের সাথে লেখকের পরামিতিতে গোপনীয়তাটি পাস করতে হবে SECRET_HASH।

AdminInitiateAuthRequest request = new AdminInitiateAuthRequest
{
  ClientId = this.authorizationSettings.AppClientId,
  AuthFlow = AuthFlowType.ADMIN_NO_SRP_AUTH,
  AuthParameters = new Dictionary<string, string>
  {
    {"USERNAME", username},
    {"PASSWORD", password},
    {
      "SECRET_HASH", EncryptionHelper.GetSecretHash(username, AppClientId, AppClientSecret)
    }
  },
  UserPoolId = this.authorizationSettings.UserPoolId
};

এবং এটি কাজ করা উচিত।

সি ++ Qt ফ্রেমওয়ার্ক সহ

QByteArray MyObject::secretHash(
     const QByteArray& email,
     const QByteArray& appClientId, 
     const QByteArray& appSecretKey)
{
            QMessageAuthenticationCode code(QCryptographicHash::Sha256);
            code.setKey(appSecretKey);
            code.addData(email);
            code.addData(appClientId);
            return code.result().toBase64();
};

আরও কমপ্যাক্ট সংস্করণ থাকতে পারে, তবে এটি রুবির পক্ষে কাজ করে, বিশেষতঃ রুবে অন কিছুটা প্রয়োজন ছাড়াই:

key = ENV['COGNITO_SECRET_HASH']
data = username + ENV['COGNITO_CLIENT_ID']
digest = OpenSSL::Digest.new('sha256')

hmac = Base64.strict_encode64(OpenSSL::HMAC.digest(digest, key, data))

কগনিটো প্রমাণীকরণ

ত্রুটি: অ্যাপ্লিকেশন ক্লায়েন্টটি গোপনের জন্য কনফিগার করা হয়নি তবে গোপন হ্যাশ পেয়েছে

গোপনকি সরবরাহ করা শূন্য হিসাবে আমার জন্য কাজ করে। প্রদত্ত শংসাপত্রগুলির মধ্যে রয়েছে: -

• কগনিটোএডেন্টিটি ইউজারপুলরিজিওন (অঞ্চল)
• কগনিটোআইডেন্টিটি ইউজারপুলআইডি (ইউজারপুলআইডি)
• কগনিটোআইডেন্টিটি ইউজারপুল অ্যাপ্লিকেশন ক্লায়েন্টআইডি (ক্লায়েন্টআইডি)

• এডাব্লুএসসিগনিটো ইউজারপুলস সিগাইন ইনপ্রভাইডারকি (অ্যাক্সেসকি আইআইডি)

  // setup service configuration
  let serviceConfiguration = AWSServiceConfiguration(region: CognitoIdentityUserPoolRegion, credentialsProvider: nil)
  
  // create pool configuration
  let poolConfiguration = AWSCognitoIdentityUserPoolConfiguration(clientId: CognitoIdentityUserPoolAppClientId,
                                                                  clientSecret: nil,
                                                                  poolId: CognitoIdentityUserPoolId)
  
  // initialize user pool client
  AWSCognitoIdentityUserPool.register(with: serviceConfiguration, userPoolConfiguration: poolConfiguration, forKey: AWSCognitoUserPoolsSignInProviderKey)
  

উপরের সমস্ত জিনিস নীচে লিঙ্কযুক্ত কোড নমুনা নিয়ে কাজ করে।

এডাব্লুএসের নমুনা কোড: https://github.com/awslabs/aws-sdk-ios-sample/tree/master/CognitoYourUserPools- নমুনা / সুইফট

যদি এটি আপনার পক্ষে কাজ করে না তবে আমাকে জানান।

এখানে আমার 1 কমান্ড, এবং এটি কার্যকর (নিশ্চিত :))

EMAIL="EMAIL@HERE.com" \
CLIENT_ID="[CLIENT_ID]" \
CLIENT_SECRET="[CLIENT_ID]" \
&& SECRET_HASH=$(echo -n "${EMAIL}${CLIENT_ID}" | openssl dgst -sha256 -hmac "${CLIENT_SECRET}" | xxd -r -p | openssl base64) \
&& aws cognito-idp ...  --secret-hash "${SECRET_HASH}"