OAuth2.0,CodeChallenge的生成问题

已于 2022-03-22 17:44:19 修改
阅读量1.9k 收藏
点赞数 1
CC 4.0 BY-SA版权
文章标签: android
于 2022-03-22 17:40:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zjuter/article/details/123666591
本文介绍了在Android端封装OAuth2.0 SDK时遇到的CodeChallenge问题,解析了文档中关于生成CodeChallenge的步骤,即先计算CodeVerifier的SHA256哈希值,然后使用BASE64URL编码。错误在于通常我们会将哈希值转换为十六进制字符串,而OAuth要求使用原始的二进制数组进行编码。此外,由于CodeChallenge会用于URL,因此使用Base64.URL_SAFE编码避免了URL保留字符。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

今天在封装OAuth2.0在android端的SDK时,遇到一个CodeChallenge始终不对的问题。

在文档中是这么写的:BASE64URL-ENCODE(SHA256(ASCII(code_verifier)))

也就是说,CodeChallenge的生成,是在CodeVerifier的SHA256值基础上,再用BASE64URL编码。

这里对SHA256的hash值,产生了理解错误。OAuth2.0文档的原意是SHA256的raw byte数组, 不是我们平常用到的对raw byte数组转十六进制后的值。

差异性代码看下面:

这是我们平常使用的转hash值:

    public static String string2SHA256(String inStr) {
        MessageDigest md5 = null;
        try {
            md5 = MessageDigest.getInstance("SHA256");
        } catch (Exception e) {
            System.out.println(e.toString());
            e.printStackTrace();
            return "";
        }
        char[] charArray = inStr.toCharArray();
        byte[] byteArray = new byte[charArray.length];

        for (int i = 0; i < charArray.length; i++)
            byteArray[i] = (byte) charArray[i];
        byte[] md5Bytes = md5.digest(byteArray);
        StringBuffer hexValue = new StringBuffer();
        for (int i = 0; i < md5Bytes.length; i++) {
            int val = ((int) md5Bytes[i]) & 0xff;
            if (val < 16)
                hexValue.append("0");
            hexValue.append(Integer.toHexString(val));
        }
        return hexValue.toString();
    }

这是OAuth要求的原值:

    public static String string2SHA256WithBASE64URL(String inStr) {
        MessageDigest md5 = null;
        try {
            md5 = MessageDigest.getInstance("SHA256");
        } catch (Exception e) {
            System.out.println(e.toString());
            e.printStackTrace();
            return "";
        }

        md5.update(inStr.getBytes());
        return Base64.encodeToString(md5.digest(), Base64.URL_SAFE | Base64.NO_WRAP | Base64.NO_PADDING);
    }

可以看到在原值的基础上,进行了Base64编码。

另外,再提一下,为什么叫Base64URL而不是Base64, 是因为,CodeChallenge值要拼接在URL当中,所以不能用=,+,/等这些保留字符。这个操作:Base64.URL_SAFE | Base64.NO_WRAP | Base64.NO_PADDING。 就是把这些字符去掉。

zjuter
关注
Spring Security 6.x 系列【58】授权服务器篇之Oauth 2.0 PKCE规范
记录知识、锤炼自我
06-18 1482
PKCE全称是Proof Key for Code Exchange,翻译过来是交换授权码时的证明秘钥,官方读音为pixy。PKCE规范于2015年发布,收录在RFC 7636文件中。 OAuth 2.0公共客户端在使用授权码模式时,很容发授权码拦截攻击,PKCE规范描述了该攻击以及如何防范。
OAuth 2.0授权码流程中的PKCE配置(Java实现)
CyberSparkZ的博客
09-21 338
OAuth 2.0是一种授权框架,用于保护API和资源免受未授权访问。在OAuth 2.0授权码流程中,客户端应用程序通过授权码来获取访问令牌。为了增强安全性,推荐使用PKCE(Proof Key for Code Exchange)来防止授权码被恶意截获并滥用。PKCE是一种用于授权码流程的安全增强机制,它通过在客户端和授权服务器之间进行交互,确保授权码只能由预先与客户端关联的应用程序使用。在Java中实现OAuth 2.0授权码流程,并配置PKCE,可以使用一些开源库来简化开发过程。下面是示例代码: 在
code_challenge:代码库的代码挑战
03-04
Create React App入门 该项目是通过引导的。 可用脚本 在项目目录中,可以运行: 纱线安装 yarn start 在开发模式下运行应用程序。 打开在浏览器中查看它。 如果您进行编辑,则页面将重新加载。 您还将在控制台中看到任何棉绒错误。 yarn test 在交互式监视模式下启动测试运行器。 有关更多信息,请参见关于的部分。 yarn build 构建产到应用程序build文件夹。 它在产模式下正确捆绑了React,并优化了构建以获得最佳性能。 成被最小化,并且文件名包括哈希值。 您的应用已准备好进行部署! 有关更多信息,请参见关于的部分。 yarn eject 注意:这是单向操作。 eject ,您将无法返回! 如果您对构建工具和配置选择不满意,则可以随时eject 。 此命令将从您的项目中删除单个成依赖项。 相反,它将所有配置文件和传递依赖项(w
Java--MD5加密
yanlzhl的博客
01-22 682
import java.security.MessageDigest; public class MD5Util { /*** * MD5加码 成32位md5码 */ public static String string2MD5(String inStr){ MessageDigest md5 = null; try{
爬虫遇到code_verifier和code_challenge
最新发布
qq_42246902的博客
05-26 291
本文记录了作者开发国外App爬虫时遇到的401未授权错误问题。通过排查发现该App采用OAuth2.0 PKCE认证流程,其中code_verifier和code_challenge是关键字段。文章详细介绍了两个字段的成方法:code_verifier是随机字符串,code_challenge则是其SHA256哈希值的Base64URL编码。作者提供了Python和JavaScript的实现代码示例,并指出该认证流程的特殊性在于先提交challenge后验证verifier,与常见流程顺序相反。此文对理解
PKCE 流程中,code_verifier 和 code_challenge
weixin_44951259的博客
08-31 1354
Oauth2 的 PKCE 流程中, code_verifier 和 code_challenge成规则
codeChallenge:Code Challenge是一个用于测试小代码问题并实时评估其解决方案的平台
04-30
代码挑战 Code Challenge是一个用于测试小代码问题并实时评估其解决方案的平台。 它支持基本身份验证和cookie。 它是一个使用React,React-Bootstrap,Node.js,Express和MongoDB构建的同构应用程序。 演示版 入门 安装 注意:确保mongoDB已安装并正在运行。 第一的 $ git clone https://github.com/jmariomejiap/codeChallenge.git 安装依赖项。 $ npm install 或者 $ yarn install 如果要在本地运行Code Challenge。 $ npm start 并转到 挑战数据 例子 挑战的数据结构。 挑战数据 数学 001 代码 描述 info.json 可以将新挑战添加到Challenge_data文件夹中。 每个挑战(例如数学)都可以进行多
generation-code-challenge:成代码挑战
05-09
世代带回家的编码挑战 这是一项带回家的编码挑战,用于帮助评估对加入Generation团队感兴趣的候选人。 目标是让考在面对面采访之前完成编码挑战,以便我们可以一起讨论解决方案。 如果无法做到这一点,我们可能会通过跟进电话一起讨论解决方案。 您应该期待什么? 根据您对React和GoogleMaps API的熟悉程度,我们预计该练习将需要2到5个小时才能完成。 我们知道这是很长的时间,因此我们非常感谢您为此付出的努力。 您应该如何提交代码? 您可以通过任何方式-给我们发送一个zip文件,指向您的个人存储库的链接等。请提供该应用的一些屏幕截图。 如果我不知道React怎么办? 随时提交符合要求的解决方案,但无需使用React。 React是我们堆栈的重要组成部分,您将每天使用它,因此,兴奋地学习它很重要! 如果您不了解React,并且能够学习基础知识以完成本练习,那么我们将为您留下
【高频考点精讲】前端OAuth2.0安全实践:授权码流程和PKCE扩展详解
全栈老李的博客
05-17 1345
🧑‍🏫:全栈老李📅:2025 年 5 月🧑‍💻:前端初学者、进阶开发者🚀:本文由全栈老李原创,转载请注明出处。大家好,我是全栈老李。今天咱们聊聊前端开发中绕不开的安全话题——OAuth2.0。这玩意儿就像互联网世界的"签证官",决定谁可以进你家门(访问用户数据),但最近几年"假签证"(安全攻击)越来越多,所以得好好研究下怎么把门守严实了。
OAuth 2.0实战课 07-08 笔记
fuxuan_7的博客
11-29 1220
极客时间 OAuth 2.0实战课 07-08 笔记 移动端使用OAuth2.0 无server端APP (OAuth2.0 不建议) 为避免请求访问令牌时需要的 app_secret 只能保存在用户本地设备上带来的安全隐患,OAuth2.0给出指导方案: PKCE 协议(Proof Key for Code Exchange by OAuth Public Clients :OAuth公共客户端代码交换的证明密钥)。 可通过code_verifier 和 code_challenge挑战码来代替app
Golang OAuth2 常见问题与解决方案
Golang编程笔记的博客
05-08 1145
本文针对Golang开发者在实现OAuth2认证授权时遇到的典型问题,提供系统性解决方案。内容覆盖OAuth2核心流程(授权码模式、隐式模式、客户端凭证模式、资源所有者密码模式)的Golang实现细节,重点解决令牌命周期管理、安全漏洞防范、跨平台适配等工程问题。通过理论分析与代码实战结合,帮助开发者建立健壮的认证授权体系。背景知识:OAuth2核心概念与Golang态简介核心问题:令牌管理、状态验证、重定向安全等六大类问题解析解决方案:结合代码示例的分步实现指南。
CodeChallenge
04-17
挑战代码 我考虑过数据的标准化形式 我在创建mdf文件时遇到了麻烦,因为我使用的是工作笔记本电脑,并且出于安全原因无法使用bcoz,所以我无法安装任何文件或创建mdf文件来使用realdata 关于标准化数据的第一个问题,我想将所有员工数据提取到1个表EmployeeInfo中,该表包含(Firstname,Lastname,Address,EmployeeId),其中employeeId是标识种子设置为1的主键,EmployeeType将是一个查找/类型表它可以包含…所有3种不同的员工类型(员工/主管/经理),并且是api prj中的一个枚举 EmployeeFinancials tbl可以是子tbl,它可以与emp表建立fk关系,并且可以保存所有财务数据,如薪水,时薪,年薪。 我在存储库/上下文类中嘲笑了fakedata,并测试了它是否可以与邮递员一起使用。 我想进行快速设置,但
codechallenge
03-31
密码挑战
code-challenge:代码挑战构建构造函数
05-31
欢迎来到我的回购 我是你的 Readme.md 文件,你应该更新我。 用法 这个模板包含一些简单的gulp任务。 它们如下: gulp watch :这将启动一个节点服务器并启动标准的watchlist任务 gulp bower :这会将凉亭组件移动到适当的位置。 这将在watch任务期间运行,但您可能需要偶尔手动运行一次 gulp handlebars :这将为您编译您的把手 ( .hbs ) 文件。 同样, watch将监视更改,但如果添加新文件,则需要运行此命令或重新启动gulp watch命令。 还有更多的任务,你真的应该通读gulpfile.js ,但在大多数情况下,上面的任务会照顾你。
code-challenge
04-07
CodeWizardsHQ代码挑战的官方存储库
CF-Avito Code Challenge 2018 A~E
逐梦者
05-28 615
ACM模版 最近开始打 CFCFCF,这场 AAA 了四道题,涨了 808080 多分,不过感觉自己好菜啊,DDD 提交了一分钟就被 HackHackHack 了……人第一次被 HackHackHack 吓得我不知道发了什么事。 A-Antipalindrome 猜样例,猜规律。详解&gt;&gt;&gt; B-Businessmen Problems mapmapmap 搞搞。详解...
OAuth2.1的code_challengecode_vertifier理解
OkGogooXSailboat的博客
10-12 1591
PKCE(Proof Key for Code Exchange)是一种扩展,旨在提高 OAuth 2.0 授权码模式的安全性,特别是当授权码在公共客户端(如运行在浏览器中的 JavaScript 应用或移动应用)中使用时。PKCE 通过在授权请求中添加一个额外的验证步骤来防止授权码被拦截和滥用。
HttpClient获取oAuth2.0中的code
weixin_44830737的博客
09-20 4535
提示:文章写完后,目录可以自动成,如何成可参考右边的帮助文档 文章目录获取Oauth2授权码code一、准备账号密码appId等参数二、将请求参数(client_id,response_type,redirect_uri)拼接在url后面三、这里我将账号密码用Map进行封装四、调用post请求五、post请求方法六、结果 获取Oauth2授权码code 获取授权码code 需要通过浏览器重定向,把url复制到浏览器打开,然后输入账号密码,才会返回code。 也可以通过httpclient post去
给我一个完整的前后端基于 satoken oauth2 的实现,实现第三方系统点击可以免登录直接使用
03-11
首先,我需要回顾用户之前的问题,他们询问过标准授权码流程中code的特殊含义和成方式,现在他们希望得到一个具体的实现方案,特别是第三方免登录直接访问。 用户可能的应用场景是,他们有一个主系统(资源服务器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值