我最近分配的一个学校项目有一个我们必须完成的编码挑战。挑战有多个部分,最后一部分是上传到私有 GitHub 存储库,并在特定条件下通过发出 POST 请求来提交完成请求。
我已成功完成挑战的其他部分,但仍坚持提交请求。提交作品必须遵守以下规则:
构建您的解决方案请求
首先,构造一个 JSON 字符串,如下所示:
{
"github_url": "https://github.com/YOUR_ACCOUNT/GITHUB_REPOSITORY",
"contact_email": "YOUR_EMAIL"}在
中填写您的电子邮件地址,并在YOUR_EMAIL中填写包含您的解决方案的私有 Github 存储库。 然后,向以下 URL 发出 HTTP POST 请求,并将 JSON 字符串作为正文部分。YOUR_ACCOUNT/GITHUB_REPOSITORYCHALLENGE_URL内容类型
请求的 Content-Type: 必须为
。application/json授权
URL 受 HTTP 基本身份验证保护,RFC2617 第 2 章对此进行了解释,因此您必须在 POST 请求中提供 Authorization: 标头字段。
- 对于 HTTP 基本身份验证的用户 ID,请使用您在 JSON 字符串中输入的相同电子邮件地址。
- 密码请提供符合RFC6238的10位基于时间的一次性密码 托普。
授权密码
要生成 TOTP 密码,您需要使用以下设置:
- 您必须根据RFC6238生成正确的TOTP密码
- TOTP 的
是 30 秒。Time Step X为 0。T0- 使用
作为哈希函数,而不是默认的HMAC-SHA-512。HMAC-SHA-1- 令牌共享秘密是用户 ID 后跟 ASCII 字符串值
(不包括双引号)。"APICHALLENGE"分享秘密示例
例如,如果用户 ID 为
,则令牌共享密钥为"[email protected]"(不带引号)。"[email protected]"如果您的 POST 请求成功,服务器将返回 HTTP 状态代码 200 。
我尝试非常仔细地遵循这个大纲,并以不同的方式测试我的工作。然而,我似乎无法做到正确。我们应该从 Node 服务器后端发出请求。这就是我到目前为止所做的。我使用 npm init 创建了一个新的 npm 项目,并安装了您将在下面的代码中看到的依赖项:
const axios = require('axios');
const base64 = require('base-64');
const utf8 = require('utf8');
const { totp } = require('otplib');
const reqJSON =
{
github_url: GITHUB_URL,
contact_email: MY_EMAIL
}
const stringData = JSON.stringify(reqJSON);
const URL = CHALLENGE_URL;
const sharedSecret = reqJSON.contact_email + "APICHALLENGE";
totp.options = { digits: 10, algorithm: "sha512" }
const myTotp = totp.generate(sharedSecret);
const isValid = totp.check(myTotp, sharedSecret);
console.log("Token Info:", {myTotp, isValid});
const authStringUTF = reqJSON.contact_email + ":" + myTotp;
const bytes = utf8.encode(authStringUTF);
const encoded = base64.encode(bytes);
const createReq = async () =>
{
try
{
// set the headers
const config = {
headers: {
'Content-Type': 'application/json',
"Authorization": "Basic " + encoded
}
};
console.log("Making req", {URL, reqJSON, config});
const res = await axios.post(URL, stringData, config);
console.log(res.data);
}
catch (err)
{
console.error(err.response.data);
}
};
createReq();
据我了解,我不确定我在哪里犯了错误。我尝试非常仔细地理解这些要求。我简要研究了挑战概述的所有文档,并收集了在给定条件下正确生成 TOTP 所需的必要要求。
我发现npm包
otplib可以通过我传入的选项满足这些要求。
但是,我的解决方案是错误的。当我尝试提交解决方案时,收到错误消息
"Invalid token, wrong code"。有人可以帮我看看我做错了什么吗?
我真的不希望我所有的努力都白费,因为这是一个漫长的项目。
提前非常感谢您的宝贵时间和帮助。我非常感激。
otplib指出:
// TOTP defaults
{
// ...includes all HOTP defaults
createHmacKey: totpCreateHmacKey,
epoch: Date.now(),
step: 30,
window: 0,
}
因此
epoch (T0)的默认值为
Date.now()T00您需要将
epoch的默认值更改为
0totp.options = { digits: 10, algorithm: "sha512", epoch: 0 }
otp-agentnpm 包生成 TOTP,请按照以下步骤操作:
安装npm install otp-agent
使用方法
otp-agent和各种参数生成 TOTP 的示例:
const { generateTOTP } = require('otp-agent');
const secret = 'JBSWY3DPEHPK3PXP';
const options = {
timeStep: 30, // Optional: Time step in seconds. Default is 30.
digits: 6, // Optional: Number of digits in the OTP. Default is 6.
algorithm: 'SHA-256', // Optional: Hashing algorithm. Default is 'SHA-1'. Other options: 'SHA-256', 'SHA-384', 'SHA-512'.
encoding: 'base64' // Optional: Encoding of the secret key. Default is 'base32'. Other options: 'ascii', 'hex', 'base64'.
};
const totp = generateTOTP({ secret, ...options });
console.log(totp); // Example output: 123456
说明
otp-agent 软件包。require从generateTOTPotp-agentsecrettimeStepdigitsalgorithmencodinggenerateTOTP 函数以生成 TOTP。
otp-agent还支持生成 HOTP、OTP 和带有自定义字符的自定义 OTP。有关更多详细信息和示例,您可以查看
otp-agent。