如何使用 boto3 为 AWS Cognito 创建 SECRET_HASH？

2023-11-27

我想使用 boto3 和 python 为 AWS Cognito 创建/计算 SECRET_HASH。这将合并到我的 fork 中warrant.

我将我的 Cognito 应用程序客户端配置为使用app client secret。但是，这破坏了以下代码。

def renew_access_token(self):
    """
    Sets a new access token on the User using the refresh token.

    NOTE:
    Does not work if "App client secret" is enabled. 'SECRET_HASH' is needed in AuthParameters.
    'SECRET_HASH' requires HMAC calculations.

    Does not work if "Device Tracking" is turned on.
    https://stackoverflow.com/a/40875783/1783439

    'DEVICE_KEY' is needed in AuthParameters. See AuthParameters section.
    https://docs.aws.amazon.com/cognito-user-identity-pools/latest/APIReference/API_InitiateAuth.html
    """
    refresh_response = self.client.initiate_auth(
        ClientId=self.client_id,
        AuthFlow='REFRESH_TOKEN',
        AuthParameters={
            'REFRESH_TOKEN': self.refresh_token
            # 'SECRET_HASH': How to generate this?
        },
    )

    self._set_attributes(
        refresh_response,
        {
            'access_token': refresh_response['AuthenticationResult']['AccessToken'],
            'id_token': refresh_response['AuthenticationResult']['IdToken'],
            'token_type': refresh_response['AuthenticationResult']['TokenType']
        }
    )

当我运行此程序时，我收到以下异常：

botocore.errorfactory.NotAuthorizedException: 
An error occurred (NotAuthorizedException) when calling the InitiateAuth operation: 
Unable to verify secret hash for client <client id echoed here>.

这个答案通知我使用 cognito 客户端密钥需要 SECRET_HASH。

The AWS API 参考文档AuthParameters 部分说明以下内容：

对于 REFRESH_TOKEN_AUTH/REFRESH_TOKEN：USERNAME（必需）、SECRET_HASH （如果应用程序客户端配置了客户端密钥，则为必需）， REFRESH_TOKEN（必需）、DEVICE_KEY

The boto3 文档声明 SECRET_HASH 是

使用以下方法计算的密钥哈希消息身份验证代码 (HMAC) 用户池客户端的密钥和用户名加上客户端 ID 消息。

该文档解释了需要什么，但没有解释如何实现这一点。

下面get_secret_hash方法是我用 Python 为 Cognito 用户池实现编写的解决方案，示例用法：

import boto3
import botocore
import hmac
import hashlib
import base64


class Cognito:
    client_id = app.config.get('AWS_CLIENT_ID')
    user_pool_id = app.config.get('AWS_USER_POOL_ID')
    identity_pool_id = app.config.get('AWS_IDENTITY_POOL_ID')
    client_secret = app.config.get('AWS_APP_CLIENT_SECRET')
    # Public Keys used to verify tokens returned by Cognito:
    # http://docs.aws.amazon.com/cognito/latest/developerguide/amazon-cognito-user-pools-using-tokens-with-identity-providers.html#amazon-cognito-identity-user-pools-using-id-and-access-tokens-in-web-api
    id_token_public_key = app.config.get('JWT_ID_TOKEN_PUB_KEY')
    access_token_public_key = app.config.get('JWT_ACCESS_TOKEN_PUB_KEY')

    def __get_client(self):
        return boto3.client('cognito-idp')

    def get_secret_hash(self, username):
        # A keyed-hash message authentication code (HMAC) calculated using
        # the secret key of a user pool client and username plus the client
        # ID in the message.
        message = username + self.client_id
        dig = hmac.new(self.client_secret, msg=message.encode('UTF-8'),
                       digestmod=hashlib.sha256).digest()
        return base64.b64encode(dig).decode()

    # REQUIRES that `ADMIN_NO_SRP_AUTH` be enabled on Client App for User Pool
    def login_user(self, username_or_alias, password):
        try:
            return self.__get_client().admin_initiate_auth(
                UserPoolId=self.user_pool_id,
                ClientId=self.client_id,
                AuthFlow='ADMIN_NO_SRP_AUTH',
                AuthParameters={
                    'USERNAME': username_or_alias,
                    'PASSWORD': password,
                    'SECRET_HASH': self.get_secret_hash(username_or_alias)
                }
            )
        except botocore.exceptions.ClientError as e:
            return e.response

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

python

amazonwebservices

boto3

amazoncognito

hmac

如何使用 boto3 为 AWS Cognito 创建 SECRET_HASH？的相关文章

Python 3.4.3 tkinter - 程序在声明 IntVar 或任何其他 tkinter 数据类型时冻结

上一主题 Python 3 4 tkinter checkbutton变量处理不起作用响应 https stackoverflow com questions 33711472 python 3 4 tkinter checkbutton
从终端调用时 uvicorn 不工作

我尝试通过 pip3 在系统上安装 uvicorn 这有效但是我无法从命令行运行相同的命令有关如何解决此问题的任何指示 Requirement already satisfied uvicorn in home vhawk19 loca
如何在 Linux 中显示进程状态（阻塞、非阻塞）

有没有办法查询 Linux 进程表中进程的状态以便能够演示执行查询时进程是正在运行还是被阻止我的目标是从进程或程序的外部执行此操作因为我希望从操作系统进程的角度来理解这一点但欢迎任何想法这是Python代码阻塞的过程 impo
在 python + Flask + Gunicorn + nginx + Compute Engine 应用程序中从 Google Cloud Storage 读取文件失败

在 python Flask Gunicorn nginx Compute Engine 应用程序中读取从 Google Cloud Storage 下载的文件失败代码链接 https github com samuq CE test h
Python 可以使用单独的媒体播放器打开 mp3 文件吗？ [关闭]

Closed 这个问题需要多问focused help closed questions 目前不接受答案是否可以开一个mp3Python 中的文件可以使用Popen 我并不是要在程序中运行它我的意思是作为媒体播放器中的一个单独窗口或其
Accel 无法在 gedit 3 插件中工作

我试图为 Gedit 3 编写一个使用 GObject 自省的小插件下面显示的代码的相关部分只是为了建立一个环境然后我可以将函数放入按钮的回调中但是该按钮的加速器不起作用这段代码有什么问题我正在使用教程here http www
SMTPAuthenticationError: (535, b'5.7.8 用户名和密码在 Django 生产中不被接受？

我在 Heroku 上部署了一个 Django 应用程序在其中一节中我使用 SMTP Gmail 设置向用户发送电子邮件当我在本地运行项目时电子邮件发送成功但在 Heroku 上部署的项目上却发送失败我在 Stackoverfl
如何更改条形图上的 y 轴限制？

我有一个df 我从中索引了europe n我绘制了一个条形图 europe n r 5 c 45 looks like this df Country string df Population numeric 变量 plt bar df C
Weasyprint 在调用 write_pdf 时获得未定义的属性：“AttributeError：‘PosixPath’对象没有属性‘read_text’”

我正在 ubuntu 18 04 上运行 weasyprint 项目并尝试创建一个 pdf 当我尝试设置页脚图像时问题就开始了我正在 python 3 6 7 上运行这是我调用 weasyprint 的代码 import sys i
更改Python pylab玫瑰/极坐标图中图例标题的字体大小

我正在尝试更改玫瑰图或极地图上现有图例标题的字体大小大部分代码是由不在的其他人编写的我已经添加 ax legend title legend title setp l get title fontsize 8 添加标题 legend
PyPI 项目页面中的“Py 版本”是什么意思？这有关系吗？

我注意到大多数在 PyPI 上发布的项目在其项目页面中都包含 Py 版本元数据但它们的值各不相同如果包不是通用包或不是纯 python 包那么它们的值是不同的这是可以理解的以便表示它们的目标平台例如鼻页 https pypi
将 csv 文件按多列拆分为 panda 数据框

我有一个包含多列的 tsv 文件有 10 多列但对我来说重要的列是名称为 user name shift id url id 的列我想创建一个数据框首先根据用户名分隔整个 csv 文件即只有具有相同用户名的行才会分组在一起从该块
不重复的Python组合

我有一个数字列表我想从中进行组合如果我有清单 t 2 2 2 2 4 c list itertools combinations t 4 结果是 2 2 2 2 2 2 2 4 2 2 2 4 2 2 2 4 2 2 2 4 但我想得到
使用 terraform 更新 KMS 密钥策略

有谁知道如何让 Terraform 更新现有的 KMS 密钥策略我已经创建了 KMS 密钥但我有一个需要使用现有 KMS 密钥的临时 IAM 角色我希望能够将这个新 IAM 角色添加到现有的 KMS 密钥策略中我可以看到使用 AW
为什么全新安装后会有pip和conda包？

All Windows 10 64 位 d l Anaconda 2 5 0 与 Python3 64 位并安装全新安装后我输入conda list 并且在软件包中我看到重复像 jupyter 1 0 0 py35 1 jupyte
多线程写入文件

前几天刚开始使用 python 对多线程的整个概念还很陌生我在多线程时写入文件时遇到问题如果我按照常规方式执行此操作它会不断覆盖正在写入的内容使用 5 个线程写入文件的正确方法是什么不降低性能的最佳方法是在所有线程之间使用队列每
Python unittest - 与assertRaises相反？

我想编写一个测试来确定在给定情况下不会引发异常测试是否有异常很简单is上调 sInvalidPath AlwaysSuppliesAnInvalidPath self assertRaises PathIsNotAValidOne MyO
从 sublime_plugin.WindowCommand 获取当前文件名

我开发插件sublime text 3 并想要获取当前打开的文件路径 absolute1 self window view file name 在哪里self is sublime plugin WindowCommand 但失败了 Att
sklearn 中带有词袋和附加情感特征的文本分类器

我正在尝试构建一个分类器除了词袋之外还使用情绪或主题 LDA 结果等特征我有一个包含文本和标签的 pandas DataFrame 并且想添加情感值 5 到 5 之间的数字和 LDA 分析结果带有句子主题的字符串我有一个工作词
Tensorflow ctc_loss_calculator：找不到有效路径

当运行我的神经网络双向 LSTM 进行音频识别时我使用连接主义时间分类 CTC 但在某些时候训练网络时我几乎每批都会收到来自 Tensorflow 的警告 W tensorflow core util ctc ctc loss cal

随机推荐

vim 折叠搞乱了语法高亮

我使用 vim 作为 LaTeX 并且使用 Latex suite 它为我提供了很好的语法突出显示和折叠但在大文件中语法突出显示变得混乱如果我打开所有折叠语法突出显示就会正常但我希望它始终正常工作我似乎记得一个选项会增加用作
如何查询 Active Directory 对象的有效权限？

我试图以编程方式确定当前用户是否对给定的 Active Directory 对象具有某些权限特别是在本例中我试图确定用户是否具有其他 Exchange 用户或通讯组列表对象的发送为权限我已经弄清楚如何访问ntSecurityDes
如何从充当服务器的 iPhone 流式传输视频？

我正在开发一款适用于 iOS 的应用程序其中一台 iPhone 必须将其摄像头录像实时传输到另一台 iPhone 为简单起见两台 iPhone 都位于同一个 Wi Fi 网络中流媒体应该可以工作without物理互连例如用于将流路由
对通用 Java 类中的通用变量使用数学运算符

我正在尝试编写一些代码使我能够对 T extends Number 对象实例执行基本数学运算它需要能够处理任何数字类型的子类Number 我知道下面的一些类型Number have add 内置方法有些甚至有 multiply 方法
转发声明未命名结构的 typedef [重复]

这个问题在这里已经有答案了可能的重复未命名结构的前向声明如果我有 typedef struct tagPAGERANGE int iFirstPage int iLastPage PAGERANGE 我可以这样转发声明 struct
在 Windows Phone 8.1 中共享渲染到位图图像

我想在 Windows Phone 8 1 中将画布作为图像共享为此我首先将画布转换为图像然后共享它我尝试了我的 Windows 8 1 代码没有发生错误但共享源应用程序中没有图像仅出现描述和标题这是代码 private a
这是一个指向数组开头的指针吗？

我刚刚帮助某人编写了一些代码他有这个 char dataArray 10 然后想要获取指向数组开头的指针而不是使用 dataArray 0 or just dataArray He used dataArray 他最终得到了一个指向指针
SP2010 客户端对象模型 3 MB 限制 - 未应用更新 maxReceivedMessageSize

我正在使用客户端对象模型与 Sharepoint 2010 进行交互当我尝试使用客户端 OM 上传大于 3 MB 的文档时出现错误请求错误微软建议this解决问题我尝试过并更新了 maxReceivedMessageSize 属性
Django Rest Framework - 当尝试使用不正确的凭据登录用户时，为什么会返回 200 状态代码？

这是我的 URLs py url r api auth include rest framework urls namespace rest framework 我的主页上有一个表单用户可以在其中输入用户名和密码单击提交按钮时 Angu
如何在 C++ 中声明全局变量

我知道不应该使用全局变量但我需要它们我读过在函数外部声明的任何变量都是全局变量我已经这样做了但在另一个 cpp文件中找不到该变量所以它并不是真正的全球性是不是得建立一个头文件GlobalVariabels h并将该文件包含到
Google Sheets API：调用者没有权限

我正在尝试从 cron 中读取文档 https sheets googleapis com v4 spreadsheets
查看网页生成源的最佳方式？

我正在寻找一个工具它可以为我提供正确的生成源包括由 AJAX 请求输入到 W3 验证器中所做的 DOM 更改我尝试过以下方法网页开发者工具栏根据文档类型生成无效源例如它删除标签的自关闭部分丢失页面的文档类型部分 Firebu
Pandas 左外连接结果表大于左表

根据我对左外连接的理解结果表的行数不应多于左表的行数如果这是错误的请告诉我我的左表有 192572 行和 8 列我的右表有 42160 行和 5 列我的左表有一个名为 id 的字段它与右表中名为 key 的列匹配因此我将它们
合并相同键的值

可以用吗awk将相同键的值放入一行例如 a 100 b 200 a 131 a 102 b 203 b 301 我可以将它们转换为这样的文件吗 a 100 131 102 b 200 203 301 您可以像这样使用 awk awk F
Google plus客户端“发生内部错误”[重复]

这个问题在这里已经有答案了昨天当我尝试在我的应用程序中使用 Google Plus 签署用户时我开始收到发生内部错误我使用得很好并且没有更改代码已经很长时间没有改变了 GmsClient回报 connect bindServic
Azure 上的 Django 不加载静态文件

我按照下面的教程在azure上创建了一个django项目 http www windowsazure com en us develop python tutorials web sites with django 一切正常直到我尝试安装
大量 if 语句的快速替代方案

我是java初学者我正在制作一个简单的程序在其中输入一些内容如果我输入的内容与数据库上的其中一个内容匹配那么它会打印一些文本有没有比这样做更简单的方法来检查这一点 int 1 int 2 int 3 etc if USER I
NoClassDefFoundError：无法初始化类 androidx.customview.poolingcontainer.PoolingContainer

使用 Jetpack Compose UI 工具1 2 0 rc01和组合编译器1 2 0 android composeOptions kotlinCompilerExtensionVersion 1 2 0 dependencies d
Node.js 中域的替代方案

由于 nodev4 2 1 已发布并且该域被标记为已弃用所以现在我需要它的替代方案早些时候我曾经将请求级别变量存储在域中以便我可以在请求的同一上下文中查找数据的其他过程中使用这些变量我们有什么办法可以实现它吗注意我无法使用请
如何使用 boto3 为 AWS Cognito 创建 SECRET_HASH？

我想使用 boto3 和 python 为 AWS Cognito 创建计算 SECRET HASH 这将合并到我的 fork 中warrant 我将我的 Cognito 应用程序客户端配置为使用app client secret 但是

如何使用 boto3 为 AWS Cognito 创建 SECRET_HASH？

如何使用 boto3 为 AWS Cognito 创建 SECRET_HASH？ 的相关文章

随机推荐

热门标签

如何使用 boto3 为 AWS Cognito 创建 SECRET_HASH？的相关文章