Не удается проверить подпись OAuth1, отправленную Moodle

Доброе утро.

Я пытаюсь реализовать аутентификацию OAuth1 в OCaml, чтобы получить безопасный запрос LTI с помощью Moodle. У меня возникли проблемы, когда я хочу восстановить подпись OAuth1: она не совпадает с подписью, которую Moodle прислал мне в полезной нагрузке POST.

Я сделал сборку подписи OAuth вручную, следуя документацию twitter и спецификацию ядра OAuth.

Вот моя функция:

let signature_oauth liste_args http_method basic_uri consumer_key secret =
    let couple_encode = (* 1 : encode keys/values *)
      List.map (
          fun (k,v) -> (Netencoding.Url.encode ~plus:false k, Netencoding.Url.encode ~plus:false v))
      @@ convert_to_gapi liste_args
    in
    let couple_trie =   (* 2 : sort by key [and value] *)
      List.sort   
        (fun (k1, v1) (k2,v2) ->
          let res = compare k1 k2 in
          if res = 0 then compare v1 v2 else res) couple_encode
    in 
    let liste_concat =  (* 3 : key=value&key2=value2 *)
      String.concat "&"
      @@ List.map
           (fun (k,v) -> k ^ "=" ^ v) couple_trie
    in 
    let signature_base_string =     (* 4 :add HTTP_method and uri *)
      sprintf "%s&%s&%s" (String.uppercase_ascii http_method) (Netencoding.Url.encode ~plus:false basic_uri) (Netencoding.Url.encode ~plus:false liste_concat)
    in
    let signing_key = (Netencoding.Url.encode ~plus:false consumer_key) ^ "&" ^ (Netencoding.Url.encode ~plus:false secret) in  (* 5 : Créer la signing_key *)
    let encodage = Netencoding.Base64.encode
                   @@ Cstruct.to_string
                   @@ Nocrypto.Hash.SHA1.hmac (Cstruct.of_string signing_key) (Cstruct.of_string signature_base_string)
    in
   encodage
  • Мой вызов функции: signature_oauth liste_args "post" "localhost:8000/launch" !oauth_consumer_key my_secret
  • Аргумент liste_args – это полезная нагрузка, разделенная знаком "&" (пример: [oauth_version=1.0;oauth_nonce=5aa374e2728914002261bbb7b4bd8e3e];...).
  • Функция convert_to_gapi преобразует этот liste_args в список пар (пример: [(oauth_version,1.0);(oauth_nonce,5aa374e2728914002261bbb7b4bd8e3e);...]. Она также удаляет элемент < em>oauth_signature.
  • Полезная нагрузка закодирована application/x-www-form-urlencoded.

Вот пример полезной нагрузки, которую я могу получить:

oauth_version=1.0&oauth_nonce=5aa374e2728914002261bbb7b4bd8e3e&oauth_timestamp=1588583843&oauth_consumer_key=rfrezFZErzfzHJmpmkBFT&user_id=2&lis_person_sourcedid=&roles=Instructor%2Curn%3Alti%3Asysrole%3Aims%2Flis%2FAdministrator%2Curn%3Alti%3Ainstrole%3Aims%2Flis%2FAdministrator&context_id=2&context_label=CT&context_title=Cours+test&resource_link_title=Test&resource_link_description=&resource_link_id=2&context_type=CourseSection&lis_course_section_sourcedid=1&lis_result_sourcedid=%7B%22data%22%3A%7B%22instanceid%22%3A%222%22%2C%22userid%22%3A%222%22%2C%22typeid%22%3A%221%22%2C%22launchid%22%3A2096392689%7D%2C%22hash%22%3A%225dbc6bff5ec32c9eee91ee3dcb476b3a553ae5337f8a21b3876b52e4e6cf862c%22%7D&lis_outcome_service_url=http%3A%2F%2Flocalhost%2Fmod%2Flti%2Fservice.php&lis_person_name_given=Admin&lis_person_name_family=User&lis_person_name_full=Admin+User&ext_user_username=user&lis_person_contact_email_primary=user%40example.com&launch_presentation_locale=en&ext_lms=moodle-2&tool_consumer_info_product_family_code=moodle&tool_consumer_info_version=2019111802&oauth_callback=about%3Ablank&lti_version=LTI-1p0&lti_message_type=basic-lti-launch-request&tool_consumer_instance_guid=localhost&tool_consumer_instance_name=%22New+Site%22&tool_consumer_instance_description=%22New+Site%22&launch_presentation_document_target=iframe&launch_presentation_return_url=http%3A%2F%2Flocalhost%2Fmod%2Flti%2Freturn.php%3Fcourse%3D2%26launch_container%3D3%26instanceid%3D2%26sesskey%3DPPPY9j3N8D&oauth_signature_method=HMAC-SHA1&oauth_signature=fuB7Qm0MXLrHPrvniQsBNcvj7BA%3D

Я попытался сделать подпись OAuth1 с помощью библиотеки но я получил ту же подпись, что и моя функция.

Я думаю, что я что-то упустил в создании подписи.

Я создаю подпись с теми же параметрами, что и Moodle (отправленные в полезной нагрузке), используя тот же секретный ключ и тот же алгоритм.

  • В документации OAuth1 я читал, что они не использовали oauth_callback в полезной нагрузке, но Moodle использует. Должен ли я удалить его?
  • Они также говорят об oauth_token. Но Moodle не дал мне его, и я понятия не имел, как его получить. Важно построить подпись?

Заранее спасибо за вашу помощь.


oauth hmacsha1 lti moodle ocaml
person Aleridia    schedule 04.05.2020    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Я нашел ответ. Было 2 ошибки:

Первым был signing_key: мне нужно только сделать (Netencoding.Url.encode ~plus:false secret) ^ "&"

Другой был из Moodle: когда вы настраиваете «Автоматический инструмент на основе URL-адреса инструмента», а затем переключаетесь на Инструмент курса, Moodle не заботится о конфигурации Инструмента курса. Сначала необходимо удалить все поля автоматического инструмента, а затем переключиться на инструмент курса.

Что помогло мне понять:

person Aleridia    schedule 05.05.2020