Hallo zusammen,
wir versuchen, Discourse mit einem externen SSO-Endpunkt zu verbinden, scheitern jedoch daran, die Signatur abzugleichen.
Die Logs zeigen:
[2020-12-23 21:10:50 +0000] [7] [DEBUG] 2d9c3e07e2e7551e51af471ca3b50e83d06411b2c75e443f96def5b6a257d141
[2020-12-23 21:10:50 +0000] [7] [DEBUG] ad02fdc5bd85adce7722bc264352cca9b931392735ed72474966c4461f188b8c
[2020-12-23 21:10:50 +0000] [7] [DEBUG] compare_digest ist unterschiedlich
Was machen wir falsch? Sieht die HMAC-Vorbereitung korrekt aus?
endpoint:
@app.route(/discourse)
def discourse():
try:
cookie = request.cookies['__session']
except KeyError:
logging.error("Session-Cookie war nicht vorhanden")
return redirect(login_url)
try:
decoded_token = verify_session_cookie(cookie, check_revoked=True)
except ValueError:
return {"message": "Session-Cookie war vorhanden, aber kein gültiger String oder leer"}, 400
except ExpiredSessionCookieError:
return {"message": "Session-Cookie war vorhanden, aber abgelaufen."}, 400
try:
uid = decoded_token['uid']
except KeyError:
return {"message": "Die Benutzer-ID konnte aus dem dekodierten Token nicht gelesen werden"}, 500
try:
payload = request.args['sso']
except KeyError:
return {"message": "Payload-Parameter war nicht vorhanden"}, 400
try:
sig = request.args['sig']
except KeyError:
return {"message": "Sig-Parameter war nicht vorhanden"}, 400
try:
nonce = validate_sso_and_generate_nonce(payload, sig, sso_secret)
except DiscourseError as e:
current_app.logger.error("SSO-Validierung fehlgeschlagen: " + str(e))
return redirect(login_url)
user = get_user(uid)
sso_url = generate_sso_redirect_url(forum_url, nonce, sso_secret, user.email, uid, user.display_name, user.display_name)
current_app.logger.debug("Discourse-Endpunkt abgeschlossen")
return redirect(sso_url)
Wo wir die Signatur generieren:
def validate_sso_and_generate_nonce(payload, signature, secret):
"""
payload: bereitgestellt durch Discourse-HTTP-Aufruf an Ihren SSO-Endpunkt als sso-GET-Parameter
signature: bereitgestellt durch Discourse-HTTP-Aufruf an Ihren SSO-Endpunkt als sig-GET-Parameter
secret: der geheime Schlüssel, den Sie in Discourse als SSO-Geheimnis eingegeben haben
Rückgabewert: Die Nonce, die von Discourse zur Validierung der Weiterleitungs-URL verwendet wird
"""
if None in [payload, signature]:
raise DiscourseError('Kein SSO-Payload oder keine Signatur.')
if not secret:
raise DiscourseError('Ungültiges Geheimnis..')
if not payload:
raise DiscourseError('Ungültiger Payload..')
payload = bytes(parse.unquote(payload), encoding='utf-8')
decoded = base64.decodestring(payload).decode('utf-8')
if len(payload) == 0 or 'nonce' not in decoded:
raise DiscourseError('Ungültiger Payload..')
h = hmac.new(base64.b64encode(bytes(secret, encoding='utf-8')), payload, digestmod=hashlib.sha256)
this_signature = h.hexdigest()
current_app.logger.debug(this_signature)
current_app.logger.debug(signature)
#if this_signature != signature:
# raise DiscourseError('Payload stimmt nicht mit der Signatur überein.')
if not hmac.compare_digest(this_signature, signature):
current_app.logger.debug("compare_digest ist unterschiedlich")
nonce = decoded.split('=')[1]
return nonce