今天在封装OAuth2.0在android端的SDK时,遇到一个CodeChallenge始终不对的问题。
在文档中是这么写的:BASE64URL-ENCODE(SHA256(ASCII(code_verifier)))
也就是说,CodeChallenge的生成,是在CodeVerifier的SHA256值基础上,再用BASE64URL编码。
这里对SHA256的hash值,产生了理解错误。OAuth2.0文档的原意是SHA256的raw byte数组, 不是我们平常用到的对raw byte数组转十六进制后的值。
差异性代码看下面:
这是我们平常使用的转hash值:
public static String string2SHA256(String inStr) {
MessageDigest md5 = null;
try {
md5 = MessageDigest.getInstance("SHA256");
} catch (Exception e) {
System.out.println(e.toString());
e.printStackTrace();
return "";
}
char[] charArray = inStr.toCharArray();
byte[] byteArray = new byte[charArray.length];
for (int i = 0; i < charArray.length; i++)
byteArray[i] = (byte) charArray[i];
byte[] md5Bytes = md5.digest(byteArray);
StringBuffer hexValue = new StringBuffer();
for (int i = 0; i < md5Bytes.length; i++) {
int val = ((int) md5Bytes[i]) & 0xff;
if (val < 16)
hexValue.append("0");
hexValue.append(Integer.toHexString(val));
}
return hexValue.toString();
}
这是OAuth要求的原值:
public static String string2SHA256WithBASE64URL(String inStr) {
MessageDigest md5 = null;
try {
md5 = MessageDigest.getInstance("SHA256");
} catch (Exception e) {
System.out.println(e.toString());
e.printStackTrace();
return "";
}
md5.update(inStr.getBytes());
return Base64.encodeToString(md5.digest(), Base64.URL_SAFE | Base64.NO_WRAP | Base64.NO_PADDING);
}可以看到在原值的基础上,进行了Base64编码。
另外,再提一下,为什么叫Base64URL而不是Base64, 是因为,CodeChallenge值要拼接在URL当中,所以不能用=,+,/等这些保留字符。这个操作:Base64.URL_SAFE | Base64.NO_WRAP | Base64.NO_PADDING。 就是把这些字符去掉。
