authentication - 如何计算PCKE的code_verifier?

标签 authentication oauth-2.0 okta

我正在通过Okta's PCKE Flow demo来更好地理解它的工作方式,并且在再现从code_challenge生成的相同code_verifier哈希值时遇到了麻烦。这是演示的屏幕截图:

Pcke Flow Demo

使用Zg6klgrnixQJ629GsawRMV8MjWvwRAr-vyvP1MHnB6X8WKZN作为代码验证程序,它们是如何产生的iF_7prUeJ6rr3jMG3LmhW3R1cZ2ecZavFqS0jtb6tzo作为代码挑战吗?

使用此SHA256 hash calculatorBase64 Encoder,我得到的ODg1ZmZiYTZiNTFlMjdhYWViZGUzMzA2ZGNiOWExNWI3NDc1NzE5ZDllNzE5NmFmMTZhNGI0OGVkNmZhYjczYQiF_7prUeJ6rr3jMG3LmhW3R1cZ2ecZavFqS0jtb6tzo的期望值不匹配。我没有得到期望的值在做什么呢?

这个SHA256 base 64 hash calculator from approsto给我的值非常接近期望值。使用这个计算器,我得到的iF/7prUeJ6rr3jMG3LmhW3R1cZ2ecZavFqS0jtb6tzo与期望值相差一个字符(注意如何用/而不是_)。

我正在做什么导致这种差异?如何计算code_verifier的预期iF_7prUeJ6rr3jMG3LmhW3R1cZ2ecZavFqS0jtb6tzo值?谢谢

最佳答案

PKCE代码挑战是验证程序的Base64-URL编码的SHA256哈希。这意味着您需要获取原始字符串,计算它的SHA256哈希值,然后对哈希值进行Base64-URL编码。这是很多话,所以让我们来看一下。

上面您尝试执行的操作有两个问题:

您找到的在线SHA256哈希计算器将哈希输出为十六进制编码的字符串,而不是原始字节。这通常很有帮助,但在这种情况下没有帮助。因此,通过base64编码要做的下一件事是,您正在对base64编码哈希的十六进制表示形式而不是原始字节进行编码。您需要使用散列函数来输出原始字节,并将原始字节传递到base64-url-encoder中。

下一个问题是您需要base64-url编码,而不是base64编码。 Base64-URL-encoding是Base64编码的一个较小变体,唯一的区别是使用字符-代替+_代替/,并从最后开始修剪=填充字符。这使其成为URL安全的,因为否则将需要在URL中转义+/=字符。

因此,要计算PKCE代码挑战,您需要使用可以为您提供原始字节的SHA256函数,然后使用经过修改的Base64编码函数对这些字节进行编码。

这是PHP中的一些代码可以做到这一点:



    function pkce_code_challenge($verifier) {
        $hash = hash('sha256', $verifier, true);
        return rtrim(strtr(base64_encode($hash), '+/', '-_'), '=');
    }

在浏览器中的纯JavaScript中也可以实现,但是由于WebCrypto API的复杂性,代码会稍长一些:


    function sha256(plain) { 
        // returns promise ArrayBuffer
        const encoder = new TextEncoder();
        const data = encoder.encode(plain);
        return window.crypto.subtle.digest('SHA-256', data);
    }

    function base64urlencode(a) {
        // Convert the ArrayBuffer to string using Uint8 array.
        // btoa takes chars from 0-255 and base64 encodes.
        // Then convert the base64 encoded to base64url encoded.
        // (replace + with -, replace / with _, trim trailing =)
        return btoa(String.fromCharCode.apply(null, new Uint8Array(a)))
            .replace(/\+/g, '-').replace(/\//g, '_').replace(/=+$/, '');
    }

    async function pkce_challenge_from_verifier(v) {
        hashed = await sha256(v);
        base64encoded = base64urlencode(hashed);
        return base64encoded;
    }

关于authentication - 如何计算PCKE的code_verifier?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/59911194/

上一篇:julia - 测试一个字符是否为有效的 Julia 单字符变量名?

下一篇:svelte - Sapper/Svelte Rollup/Plugin-json给Stripe.js带来了错误

相关文章:

php - Laravel 策略忽略查看、更新和删除,但创建工作正常

javascript - 具有身份验证的 Cloud Firestore

authentication - 无需注册应用程序即可通过 REST 进行 Office 365 身份验证

reactjs - Okta 身份验证,无法 GET/隐式/回调

saml - Spring SAML : how to push the requested URL to SAML as RELAY_STATE?

java - Spring 安全上下文是否在 REST/SOAP 调用中持续存在?

azure - OAuth2 On-Behalf-Of - 用户如何接受中间层权限?

java - 将用户的 OAuth2 token 放入 RestTemplate 中

oauth-2.0 - Oauth2、范围和用户角色

java - 使用 Spring CloudVault 的 Spring okta oauth2 属性

©2024 IT工具网  联系我们