Force.com OAuth 2.0 JWT到Google服务帐户Fusion Table API 400错误请求Invalid_Grant

时间:2013-06-21 15:21:48

标签: oauth-2.0 salesforce google-fusion-tables google-oauth force.com

我想要实现的是能够将Force.com上的数据上传到已经设置的服务帐户下的Google Fusion Table中,以便可以根据该数据生成网络图形可视化显示在Force.com内的VF页面中。

我写了一个由以下内容组成的Apex类:

public class NetworkGraphTestController {
    public static String base64URLEncode(Blob input) {
        String output = encodingUtil.base64Encode(input);
        output = output.replace('+', '-');
        output = output.replace('/', '_');
        while (output.endsWith('=')) {
            output = output.subString(0, output.length()-1);
        }
        return output;
    }

    public static Long findSecondsBetween2DateTimes(DateTime dt1, DateTime dt2)
    {
        Integer intDays = dt1.Date().daysBetween(dt2.Date());
        Long seconds = dt2.getTime() - dt1.getTime();
        Long daysToSeconds = intDays * 24 * 60 * 60;
        return daysToSeconds + seconds;
    }

    public static void generateJWT() {

        String pkCS8PrivateKey = 'PRIVATE KEY OBTAINED VIA OPENSSL';

        DateTime utc0 = DateTime.newInstance(1970, 1, 1, 0, 0, 0);
        DateTime issueTime = DateTime.now();

        JSONGenerator gen = JSON.createGenerator(false);
        gen.writeStartObject();
        gen.writeStringField('iss', 'xxxxxxxxxxxx-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx@developer.gserviceaccount.com');
        gen.writeStringField('scope', 'https:\\/\\/www.googleapis.com\\/auth\\/fusiontables');
        gen.writeStringField('aud', 'https:\\/\\/accounts.google.com\\/o\\/oauth2\\/token');
        Long now = findSecondsBetween2DateTimes(utc0, issueTime);
        gen.writeNumberField('exp', now + 3500);
        gen.writeNumberField('iat', now);
        String claimSet = gen.getAsString().trim();
        System.debug(gen.getAsString());
        System.debug('Gen trimmed: ' + gen.getAsString().trim());

        String header = '{"alg":"RS256", "typ":"JWT"}';
        String signatureInput = base64URLEncode(blob.valueOf(header)) + '.' + base64URLEncode(blob.valueOf(claimSet));

        Blob signature = Crypto.sign('RSA', blob.valueOf(signatureInput), encodingUtil.base64decode(pkCS8PrivateKey));

        String jwt = signatureInput+'.'+base64URLEncode(signature);

        //System.debug(jwt);

        Http h = new Http();
        HttpRequest req = new HttpRequest();
        req.setHeader('Content-Type', 'application/x-www-form-urlencoded');
        req.setMethod('POST');
        req.setBody('grant_type=' + encodingUtil.urlEncode('urn:ietf:params:oauth:grant-type:jwt-bearer', 'UTF-8')+'&assertion=' + encodingUtil.urlEncode(jwt, 'UTF-8'));
        req.setEndpoint('https://accounts.google.com/o/oauth2/token');
        System.debug('Request: ' + req + ' BODY: ' + req.getBody());
        //System.debug(req.toString());
        HttpResponse res = h.send(req);
        System.debug(res + ' BODY: ' + res.getBody() + ' STATUS: ' + res.getStatus());
    }
}

已设置服务帐户,并且已在Google API控制台中启用了Fusion Tables API。我从通过OpenSSL提供的PKCS12 p12私钥文件中提取了PKCS8密钥,虽然我不熟悉这个过程,因此可能出错了。我注意到的是,通过我多次尝试提取该私钥中的值,Crypto类在获得当前存储在pkCS8PrivateKey中的值之前不接受键值。如果我记得正确的过程,它首先将PKCS12文件转换为中间pem文件,然后提取PKCS8格式的私钥,该私钥在另一个pem文件中输出。

我遇到的400'错误请求'错误的正文如下:

{
     "error" : "invalid_grant"
}

我已经尝试不转义iss和scope参数中的正斜杠,但这没有区别。我还允许通过远程站点安全设置访问“https://accounts.google.com”。

我编写此代码的最大来源是这个问题: Force.com Apex Code to generate Google API oAuth 2.0 JWT

该问题的创建者最终出现在我现在的同一条船上,因为他只能在尝试向Google进行身份验证时检索到invalid_grant错误。不幸的是,他的问题没有得到答复,所以,我在这里。

我感谢任何有关我所面临问题的帮助。

2 个答案:

答案 0 :(得分:1)

不幸的是,我不确定使用Apex是否可行。我创建了一个测试Java程序(与Google API一起工作),以观察Java与Apex产生的差异。我注意到两者产生的签名是不同的,这使得它缩小到Crypto.sign()方法的输出。

我找到了this链接,其中提供了以下信息:

  

Apex Crypto类为数字签名提供支持   sign()方法。以下注意事项适用:

     
      
  • 这两种算法是RSA和RSA-SHA1,它们在功能上是等效的。
    •   
  • 需要以base64解码形式的PKCS8格式化私钥。此私钥不应该在Apex脚本中进行硬编码,但应该   存储在受保护的自定义设置或a中的加密字段中   自定义表。
    •   
  • 它相当于使用“ SHA1withRSA ”的Java Signature.sign()类方法。
    •   
  • 在C#中,它相当于(1)使用SHA1Managed.ComputeHash()签名明文和(2)使用签名   针对生成的哈希的RSACryptoServiceProvider.ComputeHash()。
    •   
  • 从功能上讲,它将从明文计算SHA1摘要,并使用提供的私钥使用RSA加密摘要。
    •   

我已经强调了这里的关键问题,我相信你需要相当于 SHA256withRSA ,这似乎不是Crypto类的选项(至少不是我能搞清楚的)。 / p>

因此,总而言之,我认为您的代码是正确的,但生成的签名不是。

答案 1 :(得分:0)

构建JWT非常棘手。您可以使用Google API java客户端库。 https://code.google.com/p/google-api-java-client/wiki/OAuth2#Service_Accounts

相关问题
最新问题