Hashing de Segredo + Payload para SSO

nategoethel · Novembro 4, 2020, 10:17pm

Após analisar o payload, parece que ele vem em base64 por padrão, mas o hash 256SHA do payload codificado em base64 não está correto. Estou usando o segredo e a URL de exemplo do post original.

O código a seguir gera a seguinte saída:

 payloadURL = bm9uY2U9Y2I2ODI1MWVlZmI1MjExZTU4YzAwZmYxMzk1ZjBjMGI=

sig = 2828aa29899722b35a2f191d34ef9b3ce695e0e6eeec47deb46d588d70c7cb56
payloadRaw = nonce=cb68251eefb5211e58c00ff1395f0c0b
payload256 = KCiqKYmXIrNaLxkdNO+bPOaV4Obu7EfetG1YjXDHy1Y=

Meu código:

testURL := "http://www.example.com/discourse/sso?sso=bm9uY2U9Y2I2ODI1MWVlZmI1MjExZTU4YzAwZmYxMzk1ZjBjMGI%3D%0A&sig=2828aa29899722b35a2f191d34ef9b3ce695e0e6eeec47deb46d588d70c7cb56"	
	ssoSecret := "d836444a9e4084d5b224a60c208dce14"

	// pegar o payload e o sig da query da URL
	u, err := url.Parse(testURL)
	if err != nil {
		log.Fatal(err)
	}

	q := u.Query()
	payloadURL := strings.Trim(fmt.Sprint(q["sso"]), "=[]")
	sig := strings.Trim(fmt.Sprint(q["sig"]), "[]")
	
	fmt.Printf("payloadURL = %s\n", payloadURL)
	fmt.Printf("sig = %s\n", sig)

	// obter o payload bruto a partir da versão base64
	payloadRaw, err := base64.StdEncoding.DecodeString(payloadURL)
	if err != nil {
		log.Fatal(err)
	}
	fmt.Printf("payloadRaw = %s\n", payloadRaw)
	
	key := []byte(ssoSecret)
	message := []byte(payloadURL)
	hash := hmac.New(sha256.New, key)
	hash.Write(message)
	payload256 := base64.StdEncoding.EncodeToString(hash.Sum(nil))
	if err != nil {
		log.Fatal(err)
	}
	
	fmt.Printf("payload256 = %s\n", payload256)

	// sig está codificado em hex, então codifique o hash do payload em hex para podermos comparar.
	//hashAsString := hex.EncodeToString(hash.Sum(nil))

	// comparar o hash codificado em hex do payload com o sig codificado em hex
	if strings.Compare(payload256, sig) != 0 {
		log.Fatal(err)
	}

Atualização: Corrigi isso após codificar meu hash HMAC-SHA256 resultante em hex (a assinatura também está codificada em hex). Veja também este post que diz que os exemplos no guia SSO estão incorretos. Então, alterei este código:

key := []byte(ssoSecret)
message := []byte(payloadURL)
hash := hmac.New(sha256.New, key)
hash.Write(message)
payload256 := hex.EncodeToString(hash.Sum(nil))
if err != nil {
	log.Fatal(err)
}

Tópico		Respostas	Visualizações
HMAC-256 example on Official SSO page SSO	3	2700	11 de Setembro de 2018
DiscourseConnect payload hash encoding mismatch SSO	4	1313	1 de Junho de 2021
Watch out for double url encoding of SSO payload SSO	0	1549	28 de Julho de 2019
External SSO unable to get signature match SSO	2	881	24 de Dezembro de 2020
SSO Issue: Missing SSO or SIG parameters SSO	3	164	26 de Setembro de 2024

Hashing de Segredo + Payload para SSO

Tópicos relacionados