间歇性(但经常)Google Identity Toolkit验证错误:“明文太大”

时间:2016-03-20 05:01:48

标签: google-cloud-platform google-identity-toolkit google-identity

我有时 - 但并非总是 - 从Google身份工具包中收到“明文太大”的错误。它似乎在应该尝试验证签名的部分(使用RSA)。由于它验证了有效载荷的SHA256散列,因此明文大小不应有任何变化。

如果我记录了它正在尝试使用的令牌,并将其与{RSM证书'https://jwt.io/一起提供给https://www.googleapis.com/identitytoolkit/v3/relyingparty/publicKeys的调试器;请使用jwt.io放入的密钥标识符“孩子”下面顶部的红色框,表示签名有效。

这只发生在一部分时间,可能略高于一半。如果我重复认证,似乎没问题。

这似乎只发生在新的身份验证上;如果它已经过身份验证,一切正常,即使我目前没有使用会话cookie:我的代码会在每个请求上验证gtoken身份验证。一旦我登录,一切都很好,直到我退出(再次,通过gitkit)。但是,如果我稍后再次登录,我很可能会遇到这个错误。

我正在为我的基础架构使用App Engine。 dev_appserver和部署的App Engine以及使用JavaScript gitkit库的桌面浏览器和使用Objective C gitkit库的iOS应用程序都会发生这种情况。 (我没有针对dev_appserver使用iOS进行测试,仅在部署中进行测试。)

我正在使用的代码如下:

    gtoken = cookie["gtoken"].value
    logging.debug("Verifying Google Identity Toolkit token: %s",
                  gtoken)
    gitkit_user = gitkit_instance.VerifyGitkitToken(gtoken)

跟踪堆栈跟踪(从上面引用的行开始):

  File "/base/data/home/apps/redacted/redacted.py", line 218, in redacted:
    gitkit_user = gitkit_instance.VerifyGitkitToken(gtoken)
  File "/base/data/home/apps/redacted/lib/identitytoolkit/gitkitclient.py", line 266, in VerifyGitkitToken
    parsed = crypt.verify_signed_jwt_with_certs(jwt, certs, aud)
  File "/base/data/home/apps/redacted/lib/oauth2client/crypt.py", line 240, in verify_signed_jwt_with_certs
    _verify_signature(message_to_sign, signature, certs.values())
  File "/base/data/home/apps/redacted/lib/oauth2client/crypt.py", line 119, in _verify_signature
    if verifier.verify(message, signature):
  File "/base/data/home/apps/redacted/lib/oauth2client/_pycrypto_crypt.py", line 52, in verify
    SHA256.new(message), signature)
  File "/base/data/home/runtimes/python27/python27_lib/versions/third_party/pycrypto-2.6/Crypto/Signature/PKCS1_v1_5.py", line 148, in verify
    m = self._key.encrypt(S, 0)[0]
  File "/base/data/home/runtimes/python27/python27_lib/versions/third_party/pycrypto-2.6/Crypto/PublicKey/RSA.py", line 150, in encrypt
    return pubkey.pubkey.encrypt(self, plaintext, K)
  File "/base/data/home/runtimes/python27/python27_lib/versions/third_party/pycrypto-2.6/Crypto/PublicKey/pubkey.py", line 75, in encrypt
    ciphertext=self._encrypt(plaintext, K)
  File "/base/data/home/runtimes/python27/python27_lib/versions/third_party/pycrypto-2.6/Crypto/PublicKey/RSA.py", line 224, in _encrypt
    return (self.key._encrypt(c),)
ValueError: Plaintext too large

错误“明文太大”只应在有效负载大小超过RSA密钥大小时发生。因为它正在验证针对2048位RSA密钥的SHA256哈希,所以应该没问题,所以我想知道从googleapis.com加载密钥是否有问题。我的下一步是使用API​​ stats模块在发生这种情况的请求中查找urlfetch调用,并增加_pycrypto_crypt.py以记录它尝试验证的RSA密钥。但是我想我会在Stack Overflow上查看,看看是否有人已经沿着这条路走下去了。

更新:通过一些额外的日志记录,我学到了一些东西。首先,gitkit API(或其使用的库之一)不是使用JWT头中指定的密钥ID,而是迭代尝试Google Identity Toolkit密钥集中的每个密钥。其次,当我遇到错误时,我已经有足够的日志记录,它一直在测试密钥集中真正存在的密钥之一,这使我关于加载密钥的问题的理论无效。但它确实试图验证一个256字节的字符串对2048位密钥,所以它应该是完全正常的。

最后,虽然它通常遍历所有键,但在我收到此错误的时候,它会在它尝试的第一个键上遇到错误。这让我想知道,在某些情况下,我是否会在早期导入破碎的pycrypto。

正如您从回溯中看到的那样,我正在使用谷歌提供的pycrypto,虽然我的应用程序的“lib”目录(在sys.path中)有一个本地编译的,当我出售时保存在那里在Google Identity Toolkit中。

1 个答案:

答案 0 :(得分:0)

PyCrypto是deprecated and discouraged to be used by the maintainer 如果您使用的是GAE Standard,您仍然可以依赖原生Python的SSL。

我以前偶尔会遇到这个错误。正如你所说的那样,它与PyCrypto迭代密钥集中所有可能的密钥有关,因此根据顺序,你可以点击一个足够大的密钥来消耗它的预期资源,如{{3 }}

我一直在使用ssl:2.7.11一段时间没有问题。如果您想尝试一下并且没有内在依赖pyCrypto,请将app.yaml更新为:

 - name: ssl
   version: "2.7.11"
相关问题
最新问题