关于OAuth2.1 PKCE利用crypto的sha256哈希结果转换base64url计算结果不一致的问题(Flutter)

最新推荐文章于 2024-05-24 09:35:56 发布
最新推荐文章于 2024-05-24 09:35:56 发布
阅读量1.7k 收藏
点赞数
分类专栏: flutter 文章标签: oauth2 cryptoapi base64 flutter 哈希
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Kermi/article/details/121061444
版权

目录导航

前言

最近在写第三方flutter app并抓包分析某原生app登录逻辑的时候,遇到了使用OAuth2.1 PKCE授权码模式的登录方式,该模式下需要将code_verifier先进行sha256哈希后再进行base64(URL-Save) 编码成最终的code_challenge。

OAuth2.1 PKCE授权码模式详解:https://shanhy.blog.csdn.net/article/details/114080598

code_verifier转code_challenge的工具:https://tonyxu-io.github.io/pkce-generator/

问题详情

  1. 在对code_verifier进行sha256哈希+base64URL编码后,所得结果与预期的完全不一致;在进行初步对比排查后发现是在base64URL这一步骤出现的差异。
  2. 并且在使用各种线上工具对已经sha256哈希后的字符串进行base64URL编码,也与预期结果完全不一致。

核心要点(太长不看版)

编码不同的问题。sha256哈希后的结果数据是32个byte(字节编码),PKCE模式下的base64应该基于这32个byte进行编码;而将哈希后的结果转换成十六进制字符串后进行base64编码会不一样。

分析

在搜索科普了不少文章后才意识到问题所在。

进行数据观测的时候我分别打印出了以下三种数据格式:

// Flutter,使用了crypto插件
var codeVerifier = "Tl-HbpKwvp54QYiUeYOKrvE8jO9ZUX54L-6VwkgiWzU";
var sha256Result = sha256.convert(utf8.encode(codeVerifier));
print(sha256Result.bytes); // 1、sha256哈希后,打印字节编码
print(sha256Result.toString()); // 2、sha256哈希后,打印成字符串
print(utf8.encode(sha256Result.toString())); // 3、sha256哈希后,打印字符串的utf8编码
print(base64UrlEncode(utf8.encode(sha256Result.toString()))); // 4、打印base64Url编码结果(与正常情况不一致)

输出结果分别为:

  1. [93, 154, 247, 89, 229, 56, 246, 48, 54, 31, 68, 109, 191, 35, 46, 82, 100, 162, 83, 19, 141, 204, 139, 6, 104, 112, 146, 122, 62, 224, 232, 60]

  2. 5d9af759e538f630361f446dbf232e5264a253138dcc8b066870927a3ee0e83c

  3. [53, 100, 57, 97, 102, 55, 53, 57, 101, 53, 51, 56, 102, 54, 51, 48, 51, 54, 49, 102, 52, 52, 54, 100, 98, 102, 50, 51, 50, 101, 53, 50, 54, 52, 97, 50, 53, 51, 49, 51, 56, 100, 99, 99, 56, 98, 48, 54, 54, 56, 55, 48, 57, 50, 55, 97, 51, 101, 101, 48, 101, 56, 51, 99]

  4. NWQ5YWY3NTllNTM4ZjYzMDM2MWY0NDZkYmYyMzJlNTI2NGEyNTMxMzhkY2M4YjA2Njg3MDkyN2EzZWUwZTgzYw==

其实根据这个结果其实可发现,结果一开头的十进制字节编码93对应结果二开头的十六进制字符串5d,而5d又分别对应十进制UTF8/ASCII编码的53100(结果三开头)。而结果四与在线字符串转base64结果一样(都是不正确的)。正确结果应该是XZr3WeU49jA2H0RtvyMuUmSiUxONzIsGaHCSej7g6Dw=

查阅资料得知,sha256哈希后的结果数据是32个字节编码(例如结果一),而PKCE模式下的base64应该基于这32个byte进行编码。结果四之所以与正确结果完全不同,是因为将哈希后的结果转换成十六进制字符串后(例如结果二)又转换成utf8编码(例如结果三)进行base64URl编码,导致结果大不相同。线上的字符串与base64转换工具也是相似的原因导致的结果不一致。

解决方法(Flutter)

改动前的错误的flutter dart代码:

// 注:使用了插件包 crypto: ^3.0.1
String str = sha256.convert(utf8.encode(codeVerifier)).toString();
return base64UrlEncode(utf8.encode(str));

改正后:

var str = sha256.convert(utf8.encode(codeVerifier)).bytes;
return base64UrlEncode(str);

PS:(果然理论知识还是挺重要的啊,不然就不会犯这种错。)

额外参考资料:

ascii 和 byte以及UTF-8的转码规则(还有base64)

一文读懂SHA256算法原理及其实现

@月琳
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
flutter生成sha256用户签名的过程
shving的专栏
06-07 1346
class GenerateUserSign { static int sdkAppId = 123456; /* * 时间单位:秒 * 默认时间:7 x 24 x 60 x 60 = 604800 = 7 天 */ static int expireTime = 604800; static String secretKey = 'yourKey'; ///生成UserSig static genUserSign(String userId) { .
基于OAuthPKCE授权码模式(增强安全)
小单的博客专栏
02-25 6315
假设某一个原生客户端(即没有服务端的纯桌面应用程序、安卓、IOS等)需要接入第三方OAuth2.0的需求(code 授权码模式)。 首先按照OAuth2.0授权码模式的标准,需要按如下顺序工作: 这个客户端首先需要请求OAuth提供商的获取code的URL。 服务提供商弹出登录页面。 用户登录或确认授权。 原生客户端截获服务提供商 redirect_uri 地址并获取code。 原生客户端使用 code 调用服务提供商的接口换取 token。 那么问题来了,第5步的时候,大家都知道使用 code 换取
Java加密总结:常见哈希算法总结、对称加密算法与非对称加密算法的对比
weixin_51669424的博客
07-23 420
Java加密总结:常见哈希算法总结、对称加密算法与非对称加密算法的对比
推荐:安全的JavaScript OAuth 2.1与OpenID Connect客户端库
gitblog_00043的博客
05-24 398
推荐:安全的JavaScript OAuth 2.1与OpenID Connect客户端库 项目地址:https://gitcode.com/panva/oauth4webapi 在这个数字化时代,安全性是任何Web应用的核心要素之一。OAuth 2.1和OpenID Connect为身份验证和授权提供了强大的框架,但正确实施它们可能是一项挑战。这就是我们为您推荐的开源项目——JavaScript...
sha256sum文件哈希值和直接哈希字符串的哈希值不一样
已迁移至 https://seekstar.github.io/
04-23 2804
例如在文件test.txt里写入 test 没有换行。 然后 sha256sum test.txt 出来的结果是 f2ca1bb6c7e907d06dafe4687e579fce76b37e4e93b7605022da52e6ccc26fd2 test.txt 但是在这个网站上 http://encode.chahuo.com/ 输入test,然后以sha256方式哈希得到的结果是 9f8...
MD5在不同平台(linux、win)加密结果不同【踩过的坑,一定要自己填上】
shenju2011的博客
11-21 5484
场景:项目中使用了md5加密算法,开发环境是macOS,测试一直都OK,在部署生产环境(windows系统)时一直加密验证不通过。 MD5Util,代码如下: public static String getMD5String(String str) { try { // 生成一个MD5加密计算摘要 MessageDig...
基于Spring Security的OAuth2.1和OIDC1.0认证服务器设计源码
最新发布
06-02
本源码提供了一个基于Spring Security框架的OAuth2.1和OIDC1.0认证服务器实现。项目包含102个文件,主要使用Java(51个文件)、JSP(12个文件)、XML(10个文件)、HTML(9个文件)等编程语言和标记语言开发。此外,...
asp.net WebAPI OWIN OAuth2.0授权自定义返回结果及错误或异常问题处理办法
02-16
asp.net WebAPI OWIN OAuth2.0授权自定义返回结果及错误或异常问题处理核心代码,详情: https://www.cnblogs.com/wgx0428/p/12315546.html
支持 OAuth 2.1 JWT 授权的支付宝小程序开发组件
10-26
总结,OAuth 2.1 JWT 授权的支付宝小程序开发组件利用了现代授权和身份验证的最佳实践,为开发者提供了安全、便捷的方式来处理用户授权和身份验证。通过结合 Spring Boot Starter 类似的库,开发者可以快速集成这些...
firebase_auth_oauth:Flutter插件,可轻松使用FirebaseAuth执行OAuth登录流程
05-07
firebase_auth_oauth Flutter插件,可轻松使用FirebaseAuth执行OAuth登录流程。 它还包括对Apple for Firebase登录的支持。 该插件支持Android,iOS和Web。 OAuth流程是通过在应用程序顶部打开弹出窗口来执行的,以...
微服务+spring授权服务器(OAuth2.1)+eureka+spring网关.zip
10-13
- 最后,设置Spring Gateway,配置路由规则,利用Eureka发现服务,并添加安全过滤器,实现基于OAuth2.1的权限验证。 6. 实践案例: - "permission_plus-master"可能是包含一个权限管理微服务的代码仓库,它可能...
Flutter中的一些加密库,实现对SHA256,AES,MD5的加解密
朱豪凯的博客
11-16 8144
crypto 这个加密库支持 SHA-1 SHA-224 SHA-256 SHA-384 SHA-512 SHA-512/224 SHA-512/256 MD5 HMAC (i.e. HMAC-MD5, HMAC-SHA1, HMAC-SHA256) 添加引用 在pubspec.yaml中添加如下配置 encrypt: ^5.0.1 使用起来也很容易,比如说sha256加密 import 'package:crypto/crypto.dart'; import 'dart:convert'; //
OAuth2】二十、OAuth2扩展协议 PKCE
weixin_43333483的博客
08-09 3266
OAuth2扩展协议 PKCE
flutter开发的某app安全分析
app安全逆向、移动开发、tls/ja3、爬虫、反爬
03-14 1000
最近总感觉时间不够用,很多东西都堆着,答应给朋友看的某app,也没来得及看。所以也就一直没有空发文章,当然我也承诺过,尽量保证文章的质量,所以不能随便水文章,要嘛就不发,要嘛就发质量我觉得过得去的。这不刚好有个app,可以记录一下Flutter是Google使用Dart语言开发的移动应用开发框架,使用一套Dart代码就能快速构建高性能、高保真的iOS和Android应用程序。
OAuth 2 和 OAuth 2.1 之间的差异
ChaITSimpleLove的博客
12-06 1293
`OAuth 2.1` 整合了自 `Oauth 2` 发布以来八年来学到的最佳实践。最初的 `OAuth 2.0` 规范于 `2012` 年 `10` 月作为 `RFC6749` 和 `RFC6750` 发布。它取代了 `2010` 年 `4` 月发布的 `OAuth 1.0`。在随后的几年中,对 `OAuth 2` 进行了许多扩展和修改。新的 `OAuth` 规范已经提出,目前正在讨论中。目前,该规范最近一次更新是在 `2020` 年 `7` 月 `30` 日。如果获得批准...
java sha256加密后base64编码
m0_47104939的博客
07-18 940
javasha256加密后base64编码。
golang sha256加密数据结果不一样_数据加签验签防篡改
weixin_42521058的博客
12-08 2543
舞台再大你不上台永远是个观众,平台再好你不参与永远是个外人,机会再多你不争取,只能看别人成功,其实你并非不可改变,只是你从未让改变发生!小伙伴们,一起加油丫前面我们介绍了信息加密两种方式:对称加密和非对称加密,我们也提到了单向加密,严格意义上不是一种加密方式,只是一种散列算法,今天我们详细介绍一下,然后再介绍一下数据防篡改方法之一 —— 加签。come on~~单向散列加密算法什么是散列...
oauth2.0pkce
04-21
OAuth 2.0是一种用于授权的开放标准,它允许用户授权第三方应用访问他们在另一个应用中存储的受保护资源,而无需将用户名和密码提供给第三方应用。OAuth 2.0 PKCE(Proof Key for Code Exchange)是OAuth 2.0的一个扩展,用于增强授权流程的安全性。 PKCE的主要目的是防止授权码(code)被截获并被恶意使用。在传统的OAuth 2.0授权流程中,客户端直接将授权码发送给授权服务器以获取访问令牌(access token)。但这种方式存在安全风险,因为授权码可能会被截获并被恶意使用。 PKCE通过在授权请求中引入一个随机生成的密钥(code verifier),并在获取访问令牌时验证该密钥(code challenge),来解决这个安全问题。具体流程如下: 1. 客户端生成一个随机的code verifier,并计算其哈希值(code challenge)。 2. 客户端向授权服务器发送授权请求,包括code challenge和其他必要参数。 3. 授权服务器返回一个授权码(code)给客户端。 4. 客户端使用code和code verifier向授权服务器请求访问令牌。 5. 授权服务器验证code和code verifier的匹配性,并返回访问令牌给客户端。 通过使用PKCE,即使授权码被截获,攻击者也无法使用它来获取访问令牌,因为攻击者没有对应的code verifier。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

@月琳

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值