如何计算PCKE的code_verifier?
How to calculate PCKE's code_verifier?
我正在研究 Okta's PCKE Flow demo 以更好地了解它的工作原理,但我在重现从 code_verifier 生成的相同 code_challenge 哈希时遇到了问题.这是演示的屏幕截图:
使用Zg6klgrnixQJ629GsawRMV8MjWvwRAr-vyvP1MHnB6X8WKZN作为代码验证者,他们是如何产生
iF_7prUeJ6rr3jMG3LmhW3R1cZ2ecZavFqS0jtb6tzo 作为代码挑战?
使用这个 SHA256 hash calculator and Base64 Encoder,我得到 ODg1ZmZiYTZiNTFlMjdhYWViZGUzMzA2ZGNiOWExNWI3NDc1NzE5ZDllNzE5NmFmMTZhNGI0OGVkNmZhYjczYQ,它与 iF_7prUeJ6rr3jMG3LmhW3R1cZ2ecZavFqS0jtb6tzo 的预期值不匹配。我做错了什么没有得到预期的价值?
这个SHA256 base 64 hash calculator from approsto给了我一个非常接近预期值的值。使用这个计算器,我得到 iF/7prUeJ6rr3jMG3LmhW3R1cZ2ecZavFqS0jtb6tzo,它与预期值相差一个字符(注意这里是 / 而不是 _)。
我在做什么导致了这种差异?如何计算 iF_7prUeJ6rr3jMG3LmhW3R1cZ2ecZavFqS0jtb6tzo 的预期 code_verifier 值?谢谢
PKCE 代码质询是验证者的 Base64-URL-编码的 SHA256 散列。这意味着您需要获取原始字符串,计算它的 SHA256 哈希值,然后对哈希值进行 Base64-URL 编码。这么多字,让我们过一遍吧。
您在上面尝试执行的操作存在两个问题:
您找到的在线 SHA256 哈希计算器将哈希输出为十六进制编码的字符串,而不是原始字节。这通常很有帮助,但在这种情况下没有帮助。因此,您通过 base64 编码所做的下一件事是您对哈希的十六进制表示而不是原始字节进行 base64 编码。您需要使用输出原始字节的哈希函数,并将原始字节传递到 base64-url-encoder.
下一个问题是你需要base64-url编码,而不是base64编码。 Base64-URL-encoding 是 Base64 编码的一个小变体,唯一的区别是使用字符 - 而不是 + 和 _ 而不是 / , 并从末尾修剪 = 填充字符。这使得它 URL 安全,否则 +/= 字符需要在 URL.
中转义
因此,要计算 PKCE 代码挑战,您需要使用可以为您提供原始字节的 SHA256 函数,然后使用修改后的 Base64 编码函数对这些字节进行编码。
下面是 PHP 中的一些代码:
function pkce_code_challenge($verifier) {
$hash = hash('sha256', $verifier, true);
return rtrim(strtr(base64_encode($hash), '+/', '-_'), '=');
}
也可以在浏览器中直接 JavaScript,但由于 WebCrypto API 的复杂性,代码稍长:
function sha256(plain) {
// returns promise ArrayBuffer
const encoder = new TextEncoder();
const data = encoder.encode(plain);
return window.crypto.subtle.digest('SHA-256', data);
}
function base64urlencode(a) {
// Convert the ArrayBuffer to string using Uint8 array.
// btoa takes chars from 0-255 and base64 encodes.
// Then convert the base64 encoded to base64url encoded.
// (replace + with -, replace / with _, trim trailing =)
return btoa(String.fromCharCode.apply(null, new Uint8Array(a)))
.replace(/\+/g, '-').replace(/\//g, '_').replace(/=+$/, '');
}
async function pkce_challenge_from_verifier(v) {
hashed = await sha256(v);
base64encoded = base64urlencode(hashed);
return base64encoded;
}
基于 Aaron 的示例和 hacking pkce-challenge 节点包,这是我使用的:
class PkceChallenge {
random(length, mask) {
let result = "";
let randomIndices = new Int8Array(length);
window.crypto.getRandomValues(randomIndices);
const byteLength = 256
const maskLength = Math.min(mask.length, byteLength);
const scalingFactor = byteLength / maskLength;
for (var i = 0; i < length; i++) {
result += mask[Math.floor(Math.abs(randomIndices[i]) / scalingFactor)];
}
return result;
}
base64UrlEncode(array) {
return btoa(String.fromCharCode.apply(null, new Uint8Array(array)))
.replace(/\+/g, '-')
.replace(/\//g, '_')
.replace(/=+$/, '');
}
generateVerifier(length) {
const mask = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789-._~";
return this.random(length, mask);
}
generateChallenge(length = 43) {
this.verifier = this.generateVerifier(length);
const encoder = new TextEncoder();
const data = encoder.encode(this.verifier);
return window.crypto.subtle.digest('SHA-256', data).then(array => { return { code_challenge: this.base64UrlEncode(array), code_verifier: this.verifier }; });
}
}
echo -n "qwe" | sha256sum -b | xxd -p -r | base64 | tr '/+' '_-' | tr -d '='
qwe 在哪里 code_verifier
我刚遇到同样的问题,想在 Postman 中创建 code_challenge 作为预请求脚本,并提出了以下内容。如果您尝试实现相同的目标,可能会对您有所帮助。我的code_verifier设置在一个环境中,挑战值也会保存到环境中:
pm.environment.set(
"code_challenge",
CryptoJS.SHA256(pm.environment.get("code_verifier"))
.toString(CryptoJS.enc.Base64)
.replace("+", "-")
.replace("/", "_")
.replace(/=+$/, "")
)
我正在研究 Okta's PCKE Flow demo 以更好地了解它的工作原理,但我在重现从 code_verifier 生成的相同 code_challenge 哈希时遇到了问题.这是演示的屏幕截图:
使用Zg6klgrnixQJ629GsawRMV8MjWvwRAr-vyvP1MHnB6X8WKZN作为代码验证者,他们是如何产生
iF_7prUeJ6rr3jMG3LmhW3R1cZ2ecZavFqS0jtb6tzo 作为代码挑战?
使用这个 SHA256 hash calculator and Base64 Encoder,我得到 ODg1ZmZiYTZiNTFlMjdhYWViZGUzMzA2ZGNiOWExNWI3NDc1NzE5ZDllNzE5NmFmMTZhNGI0OGVkNmZhYjczYQ,它与 iF_7prUeJ6rr3jMG3LmhW3R1cZ2ecZavFqS0jtb6tzo 的预期值不匹配。我做错了什么没有得到预期的价值?
这个SHA256 base 64 hash calculator from approsto给了我一个非常接近预期值的值。使用这个计算器,我得到 iF/7prUeJ6rr3jMG3LmhW3R1cZ2ecZavFqS0jtb6tzo,它与预期值相差一个字符(注意这里是 / 而不是 _)。
我在做什么导致了这种差异?如何计算 iF_7prUeJ6rr3jMG3LmhW3R1cZ2ecZavFqS0jtb6tzo 的预期 code_verifier 值?谢谢
PKCE 代码质询是验证者的 Base64-URL-编码的 SHA256 散列。这意味着您需要获取原始字符串,计算它的 SHA256 哈希值,然后对哈希值进行 Base64-URL 编码。这么多字,让我们过一遍吧。
您在上面尝试执行的操作存在两个问题:
您找到的在线 SHA256 哈希计算器将哈希输出为十六进制编码的字符串,而不是原始字节。这通常很有帮助,但在这种情况下没有帮助。因此,您通过 base64 编码所做的下一件事是您对哈希的十六进制表示而不是原始字节进行 base64 编码。您需要使用输出原始字节的哈希函数,并将原始字节传递到 base64-url-encoder.
下一个问题是你需要base64-url编码,而不是base64编码。 Base64-URL-encoding 是 Base64 编码的一个小变体,唯一的区别是使用字符 - 而不是 + 和 _ 而不是 / , 并从末尾修剪 = 填充字符。这使得它 URL 安全,否则 +/= 字符需要在 URL.
因此,要计算 PKCE 代码挑战,您需要使用可以为您提供原始字节的 SHA256 函数,然后使用修改后的 Base64 编码函数对这些字节进行编码。
下面是 PHP 中的一些代码:
function pkce_code_challenge($verifier) {
$hash = hash('sha256', $verifier, true);
return rtrim(strtr(base64_encode($hash), '+/', '-_'), '=');
}
也可以在浏览器中直接 JavaScript,但由于 WebCrypto API 的复杂性,代码稍长:
function sha256(plain) {
// returns promise ArrayBuffer
const encoder = new TextEncoder();
const data = encoder.encode(plain);
return window.crypto.subtle.digest('SHA-256', data);
}
function base64urlencode(a) {
// Convert the ArrayBuffer to string using Uint8 array.
// btoa takes chars from 0-255 and base64 encodes.
// Then convert the base64 encoded to base64url encoded.
// (replace + with -, replace / with _, trim trailing =)
return btoa(String.fromCharCode.apply(null, new Uint8Array(a)))
.replace(/\+/g, '-').replace(/\//g, '_').replace(/=+$/, '');
}
async function pkce_challenge_from_verifier(v) {
hashed = await sha256(v);
base64encoded = base64urlencode(hashed);
return base64encoded;
}
基于 Aaron 的示例和 hacking pkce-challenge 节点包,这是我使用的:
class PkceChallenge {
random(length, mask) {
let result = "";
let randomIndices = new Int8Array(length);
window.crypto.getRandomValues(randomIndices);
const byteLength = 256
const maskLength = Math.min(mask.length, byteLength);
const scalingFactor = byteLength / maskLength;
for (var i = 0; i < length; i++) {
result += mask[Math.floor(Math.abs(randomIndices[i]) / scalingFactor)];
}
return result;
}
base64UrlEncode(array) {
return btoa(String.fromCharCode.apply(null, new Uint8Array(array)))
.replace(/\+/g, '-')
.replace(/\//g, '_')
.replace(/=+$/, '');
}
generateVerifier(length) {
const mask = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789-._~";
return this.random(length, mask);
}
generateChallenge(length = 43) {
this.verifier = this.generateVerifier(length);
const encoder = new TextEncoder();
const data = encoder.encode(this.verifier);
return window.crypto.subtle.digest('SHA-256', data).then(array => { return { code_challenge: this.base64UrlEncode(array), code_verifier: this.verifier }; });
}
}
echo -n "qwe" | sha256sum -b | xxd -p -r | base64 | tr '/+' '_-' | tr -d '='
qwe 在哪里 code_verifier
我刚遇到同样的问题,想在 Postman 中创建 code_challenge 作为预请求脚本,并提出了以下内容。如果您尝试实现相同的目标,可能会对您有所帮助。我的code_verifier设置在一个环境中,挑战值也会保存到环境中:
pm.environment.set(
"code_challenge",
CryptoJS.SHA256(pm.environment.get("code_verifier"))
.toString(CryptoJS.enc.Base64)
.replace("+", "-")
.replace("/", "_")
.replace(/=+$/, "")
)