我正在经历Okta PKCE 流程演示为了更好地理解它是如何工作的,但我在重现同样的事情时遇到了困难code_challenge生成的哈希值code_verifier。这是演示的屏幕截图:
Using Zg6klgrnixQJ629GsawRMV8MjWvwRAr-vyvP1MHnB6X8WKZN作为代码验证者,他们是如何产生的
iF_7prUeJ6rr3jMG3LmhW3R1cZ2ecZavFqS0jtb6tzo作为代码挑战?
使用这个SHA256 哈希计算器 and Base64编码器, I got ODg1ZmZiYTZiNTFlMjdhYWViZGUzMzA2ZGNiOWExNWI3NDc1NzE5ZDllNzE5NmFmMTZhNGI0OGVkNmZhYjczYQ这与预期值不匹配iF_7prUeJ6rr3jMG3LmhW3R1cZ2ecZavFqS0jtb6tzo。我做错了什么而没有获得预期值?
This 来自 Approsto 的 SHA256 Base 64 哈希计算器给我一个非常接近预期值的值。使用这个计算器我得到iF/7prUeJ6rr3jMG3LmhW3R1cZ2ecZavFqS0jtb6tzo这与预期值相差一个字符(注意其中有一个/代替_).
我在做什么导致这种差异?我如何计算预期code_verifier的价值iF_7prUeJ6rr3jMG3LmhW3R1cZ2ecZavFqS0jtb6tzo? Thanks
PKCE 代码质询是验证者的 Base64-URL 编码的 SHA256 哈希值。这意味着您需要获取原始字符串,计算其 SHA256 哈希值,然后对哈希值进行 Base64-URL 编码。话太多了,我们来逐一讲解一下。
您上面尝试执行的操作存在两个问题:
您找到的在线 SHA256 哈希计算器将哈希输出为十六进制编码的字符串,而不是原始字节。这通常很有帮助,但在这种情况下却没有。因此,您通过 Base64 编码要做的下一件事是对哈希的十六进制表示形式而不是原始字节进行 Base64 编码。您需要使用输出原始字节的哈希函数,并将原始字节传递到 base64-url-encoder。
下一个问题是您需要进行base64-url 编码,而不是base64 编码。 Base64-URL-encoding 是 Base64 编码的一个小变体,唯一的区别是使用字符-代替+ and _代替/,并修剪=从末尾开始填充字符。这使得它是 URL 安全的,因为否则+/=URL 中的字符需要转义。
因此,要计算 PKCE 代码挑战,您需要使用可以为您提供原始字节的 SHA256 函数,然后使用修改后的 Base64 编码函数对这些字节进行编码。
下面是 PHP 中的一些代码,可以实现这一点:
function pkce_code_challenge($verifier) {
$hash = hash('sha256', $verifier, true);
return rtrim(strtr(base64_encode($hash), '+/', '-_'), '=');
}
也可以在浏览器中使用纯 JavaScript,但由于 WebCrypto API 的复杂性,代码稍长:
function sha256(plain) {
// returns promise ArrayBuffer
const encoder = new TextEncoder();
const data = encoder.encode(plain);
return window.crypto.subtle.digest('SHA-256', data);
}
function base64urlencode(a) {
// Convert the ArrayBuffer to string using Uint8 array.
// btoa takes chars from 0-255 and base64 encodes.
// Then convert the base64 encoded to base64url encoded.
// (replace + with -, replace / with _, trim trailing =)
return btoa(String.fromCharCode.apply(null, new Uint8Array(a)))
.replace(/\+/g, '-').replace(/\//g, '_').replace(/=+$/, '');
}
async function pkce_challenge_from_verifier(v) {
hashed = await sha256(v);
base64encoded = base64urlencode(hashed);
return base64encoded;
}