我正在尝试制作一个Python 3应用程序,以便从我http://www.osanywhereweather.com的帐户下载天气数据。我找到了在https://github.com/zrrrzzt/osanywhereweather完成此操作的JavaScript源代码。我假设github代码有效。在检查osanywhereweather.com的源代码时,在我看来github代码非常类似。
我是Python 3的新手,我从未用JavaScript编写代码,而且我对密码学一无所知。但是,在过去的35年或者数年里,我已经完成了相当多的编码工作,因此我很好地阅读了代码。因此我认为将github JavaScript代码翻译成Python 3会相对容易。我看错了。
感兴趣的代码是代码中包含电子邮件和密码以及"挑战"从osanwhereweather.com收到,以便验证我。
我无法测试JavaScript代码,但正如我所说,我认为它与osanywhereweather.com页面的来源相比较。通过分析我的网络浏览器中的流量,我可以看到osanywhereweather.com和我的浏览器之间交换的信息,这样我就可以获得一致的challenge
和saltedHash
。
尝试使用我的Python 3代码基于相应的saltedHash
创建相同的challenge
时,我会得到不同的结果。
我尝试过互联网搜索,看看能不能找出我做错了什么,但无济于事。如果有人精通JavaScript,Python和密码学,并且能够指出我做错了什么,我真的很感激。
JavaScript代码:
'use strict';
var crypto = require('crypto');
function osaHash(email, password) {
var shasum = crypto.createHash('sha1').update(email);
var e = '$p5k2$2710$' + shasum.digest('hex').toString().substring(0, 8);
var res = crypto.pbkdf2Sync(password, e, 1e4, 32, 'sha256');
var r = res.toString('base64').replace(/\+/g, '.');
return e + '$' + r;
}
function createHash(opts, callback) {
if (!opts) {
return callback(new Error('Missing required input: options'), null);
}
if (!opts.email) {
return callback(new Error('Missing required param: options.email'), null);
}
if (!opts.password) {
return callback(new Error('Missing required param: options.password'), null);
}
if (!opts.challenge) {
return callback(new Error('Missing required param: options.challenge'), null);
}
var hash = osaHash(opts.email, opts.password);
var hmac = crypto.createHmac('sha1', hash).update(opts.challenge);
var saltedHash = hmac.digest('hex');
return callback(null, saltedHash);
}
module.exports = createHash;
Python 3代码:
import hmac
import hashlib
import base64
e_mail = 'me@mydomain.com'
password = 'Secret'
''' challenge is received from osanywhereweather.com '''
challenge = '15993b900f954e659a016cf073ef90c1'
shasum = hashlib.new('sha1')
shasum.update(e_mail.encode())
shasum_hexdigest = shasum.hexdigest()
shasum_substring = shasum_hexdigest[0:8]
e = '$p5k2$2710$' + shasum_substring
res = hashlib.pbkdf2_hmac('sha256',password.encode(),e.encode(),10000,32)
r = base64.b64encode(res,b'./')
hashstr = str(e) + '$' + str(r)
hmac1 = hmac.new(challenge.encode(), hashstr.encode(), 'sha1')
saltedHash = hmac1.hexdigest()
答案 0 :(得分:0)
hashstr = str(e) + '$' + str(r)
在上面一行中,str(r)
会为您提供:"b'ZogTXTk8T72jy01H9G6Y0L7mjHHR7IG0VKMcWZUbVqQ='"
。
您需要使用r.decode()
来获取"ZogTXTk8T72jy01H9G6Y0L7mjHHR7IG0VKMcWZUbVqQ="
。
hashstr = str(e) + '$' + r.decode()
更新1
应修复对hmac.new
的批注:
hmac1 = hmac.new(hashstr.encode(), challenge.encode(), 'sha1')
更新2
根据OP的评论,OP不需要做以下事情。
另一件事是,crypto.pbkdf2Sync
似乎不尊重digest
论点。似乎总是使用sha1
摘要(至少在我的系统中,NodeJS 0.10.25)。所以你需要在python方面指定sha1
:
res = hashlib.pbkdf2_hmac('sha1', password.encode(), e.encode(), 10000, 32)
答案 1 :(得分:0)
基于falsetru的响应,以下Python 3代码已经过验证,可以与osanywhereweather.com网站一起使用:
import hmac
import hashlib
import base64
e_mail = 'me@mydomain.com'
password = 'Secret'
''' challenge is received from osanywhereweather.com '''
challenge = '15993b900f954e659a016cf073ef90c1'
shasum = hashlib.new('sha1')
shasum.update(e_mail.encode())
shasum_hexdigest = shasum.hexdigest()
shasum_substring = shasum_hexdigest[0:8]
e = '$p5k2$2710$' + shasum_substring
res = hashlib.pbkdf2_hmac('sha256',password.encode(),e.encode(),10000,32)
r = base64.b64encode(res,b'./')
hashstr = str(e) + '$' + r.decode()
hmac1 = hmac.new(hashstr.encode(), challenge.encode(), 'sha1')
saltedHash = hmac1.hexdigest()
谢谢你的假!