使用 python boto3 为 AWS Cognito 实现 USER_SRP_AUTH答案

【问题标题】：implementing USER_SRP_AUTH with python boto3 for AWS Cognito使用 python boto3 为 AWS Cognito 实现 USER_SRP_AUTH
【发布时间】：2017-05-22 10:14:13
【问题描述】：

亚马逊提供 iOS、Android 和 Javascript Cognito 开发工具包，提供高级用户身份验证操作。

例如，请参阅此处的用例 4：

https://github.com/aws/amazon-cognito-identity-js

但是，如果您使用的是 python/boto3，您得到的只是一对原语：cognito.initiate_auth 和 cognito.respond_to_auth_challenge。

我正在尝试将这些原语与pysrp lib 一起使用USER_SRP_AUTH 流进行身份验证，但我所拥有的不起作用。

它总是失败并显示“调用 RespondToAuthChallenge 操作时发生错误 (NotAuthorizedException)：用户名或密码不正确。” （用户名/密码对适用于 JS SDK。）

我怀疑我构建挑战响应错误（第 3 步），和/或在需要 base64 时传递 Congito 十六进制字符串，反之亦然。

有人搞定这个吗？有人看到我做错了吗？

我正在尝试复制在 Javascript SDK 中找到的 authenticateUser 调用的行为：

https://github.com/aws/amazon-cognito-identity-js/blob/master/src/CognitoUser.js#L138

但我做错了什么，不知道是什么。

#!/usr/bin/env python
import base64
import binascii
import boto3
import datetime as dt
import hashlib
import hmac

# http://pythonhosted.org/srp/
# https://github.com/cocagne/pysrp
import srp

bytes_to_hex = lambda x: "".join("{:02x}".format(ord(c)) for c in x)

cognito = boto3.client('cognito-idp', region_name="us-east-1")

username = "foobar@foobar.com"
password = "123456"

user_pool_id = u"us-east-1_XXXXXXXXX"
client_id = u"XXXXXXXXXXXXXXXXXXXXXXXXXX"

# Step 1:
# Use SRP lib to construct a SRP_A value.

srp_user = srp.User(username, password)
_, srp_a_bytes = srp_user.start_authentication()

srp_a_hex = bytes_to_hex(srp_a_bytes)

# Step 2:
# Submit USERNAME & SRP_A to Cognito, get challenge.

response = cognito.initiate_auth(
    AuthFlow='USER_SRP_AUTH',
    AuthParameters={ 'USERNAME': username, 'SRP_A': srp_a_hex },
    ClientId=client_id,
    ClientMetadata={ 'UserPoolId': user_pool_id })

# Step 3:
# Use challenge parameters from Cognito to construct 
# challenge response.

salt_hex         = response['ChallengeParameters']['SALT']
srp_b_hex        = response['ChallengeParameters']['SRP_B']
secret_block_b64 = response['ChallengeParameters']['SECRET_BLOCK']

secret_block_bytes = base64.standard_b64decode(secret_block_b64)
secret_block_hex = bytes_to_hex(secret_block_bytes)

salt_bytes = binascii.unhexlify(salt_hex)
srp_b_bytes = binascii.unhexlify(srp_b_hex)

process_challenge_bytes = srp_user.process_challenge(salt_bytes,                          
                                                     srp_b_bytes)

timestamp = unicode(dt.datetime.utcnow().strftime("%a %b %d %H:%m:%S +0000 %Y"))

hmac_obj = hmac.new(process_challenge_bytes, digestmod=hashlib.sha256)
hmac_obj.update(user_pool_id.split('_')[1].encode('utf-8'))
hmac_obj.update(username.encode('utf-8'))
hmac_obj.update(secret_block_bytes)
hmac_obj.update(timestamp.encode('utf-8'))

challenge_responses = {
    "TIMESTAMP": timestamp.encode('utf-8'),
    "USERNAME": username.encode('utf-8'),
    "PASSWORD_CLAIM_SECRET_BLOCK": secret_block_hex,
    "PASSWORD_CLAIM_SIGNATURE": hmac_obj.hexdigest()
}

# Step 4:
# Submit challenge response to Cognito.

response = cognito.respond_to_auth_challenge(
    ClientId=client_id,
    ChallengeName='PASSWORD_VERIFIER',
    ChallengeResponses=challenge_responses)

【问题讨论】：

你有没有得到这个工作？我正在我的项目中做同样的事情。
不，我更进一步，但到目前为止还没有运气。作为一种解决方法，我设置了一个自定义身份验证 lambda (DefineAuthChallenge)，它总是在以下位置对用户进行身份验证：exports.handler = function(event, context) {event.response.issueTokens = true; event.response.failAuthentication = false; context.done(null, event);}。这就是我现在所需要的，因为我只是在构建一个原型。但我指望最终能够完成这项工作。
man2xxl，在下面查看 armicron 的答案。

标签： python amazon-web-services amazon-cognito boto3 srp-protocol

【解决方案1】：

不幸的是，这是一个难题，因为您没有从服务中获得任何有关计算的提示（它主要是您提到的未授权）。

当用户尝试使用我们没有 SDK 的语言自行实施 SRP 时，我们正在努力改善开发者体验。此外，我们正在尝试添加更多 SDK。

虽然听起来令人生畏，但我建议采用 Javascript 或 Android SDK，修复输入（SRP_A、SRP_B、TIMESTAMP）并在实现的各个点添加 console.log 语句以确保您的计算是相似的。然后你会在你的实现中运行这些计算并确保你得到相同的结果。正如您所建议的，密码声明签名需要作为 base64 编码字符串传递给服务，这可能是问题之一。

我在实现这一点时遇到的一些问题与 BigInteger 库的差异有关（它们进行字节填充和将负数转换为字节数组的方式以及相反的方式）。

【讨论】：

感谢 Ionut。我希望有人会看到我的某个步骤明显错误，我可以避免你提出的痛苦过程，但我想我被卡住了。感谢您提供有关 PASSWORD_CLAIM_SIGNATURE 的提示。我假设您的意思是 base64 编码从 HMAC 操作返回的 原始字节，对吗？（不是说，这些字节的 hexstring 的 base64 吗？）
是的，这就是我的意思，base64 编码从 hmac 操作返回的原始字节。

【解决方案2】：

您的实施中有很多错误。例如：

pysrp 默认使用 SHA1 算法。它应该设置为 SHA256。
_ng_const 长度应为 3072 位，应从 amazon-cognito-identity-js 复制
pysrp 中没有hkdf 函数。
响应应该包含secret_block_b64，而不是secret_block_hex。
时间戳格式错误。 %H:%m:%S 表示“小时：月：秒”，+0000 应替换为 UTC。

有人搞定了吗？

是的。它在warrant.aws_srp 模块中实现。 https://github.com/capless/warrant/blob/develop/warrant/aws_srp.py

from warrant.aws_srp import AWSSRP


USERNAME='xxx'
PASSWORD='yyy'
POOL_ID='us-east-1_zzzzz'
CLIENT_ID = '12xxxxxxxxxxxxxxxxxxxxxxx'

aws = AWSSRP(username=USERNAME, password=PASSWORD, pool_id=POOL_ID,
             client_id=CLIENT_ID)
tokens = aws.authenticate_user()
id_token = tokens['AuthenticationResult']['IdToken']
refresh_token = tokens['AuthenticationResult']['RefreshToken']
access_token = tokens['AuthenticationResult']['AccessToken']
token_type = tokens['AuthenticationResult']['TokenType']

请注意，aws_srp 模块尚未合并到 master 分支中。

authenticate_user 方法仅支持PASSWORD_VERIFIER 质询。如果您想应对其他挑战，只需查看 authenticate_user 和 boto3 文档即可。

【讨论】：