0
点赞
收藏
分享

微信扫一扫

OAuth2.0,CodeChallenge的生成问题

九点韶留学 2022-03-22 阅读 56
android

今天在封装OAuth2.0在android端的SDK时,遇到一个CodeChallenge始终不对的问题。

在文档中是这么写的:BASE64URL-ENCODE(SHA256(ASCII(code_verifier)))

也就是说,CodeChallenge的生成,是在CodeVerifier的SHA256值基础上,再用BASE64URL编码。

这里对SHA256的hash值,产生了理解错误。OAuth2.0文档的原意是SHA256的raw byte数组, 不是我们平常用到的对raw byte数组转十六进制后的值。

差异性代码看下面:

这是我们平常使用的转hash值:

    public static String string2SHA256(String inStr) {
        MessageDigest md5 = null;
        try {
            md5 = MessageDigest.getInstance("SHA256");
        } catch (Exception e) {
            System.out.println(e.toString());
            e.printStackTrace();
            return "";
        }
        char[] charArray = inStr.toCharArray();
        byte[] byteArray = new byte[charArray.length];

        for (int i = 0; i < charArray.length; i++)
            byteArray[i] = (byte) charArray[i];
        byte[] md5Bytes = md5.digest(byteArray);
        StringBuffer hexValue = new StringBuffer();
        for (int i = 0; i < md5Bytes.length; i++) {
            int val = ((int) md5Bytes[i]) & 0xff;
            if (val < 16)
                hexValue.append("0");
            hexValue.append(Integer.toHexString(val));
        }
        return hexValue.toString();
    }

这是OAuth要求的原值:

    public static String string2SHA256WithBASE64URL(String inStr) {
        MessageDigest md5 = null;
        try {
            md5 = MessageDigest.getInstance("SHA256");
        } catch (Exception e) {
            System.out.println(e.toString());
            e.printStackTrace();
            return "";
        }

        md5.update(inStr.getBytes());
        return Base64.encodeToString(md5.digest(), Base64.URL_SAFE | Base64.NO_WRAP | Base64.NO_PADDING);
    }

可以看到在原值的基础上,进行了Base64编码。

另外,再提一下,为什么叫Base64URL而不是Base64, 是因为,CodeChallenge值要拼接在URL当中,所以不能用=,+,/等这些保留字符。这个操作:Base64.URL_SAFE | Base64.NO_WRAP | Base64.NO_PADDING。 就是把这些字符去掉。

举报

相关推荐

0 条评论