Bug #10617
Impossible de provisionner une instance de CKAN
0%
Description
Bonjour,
Nous n'arrivons plus à provisionner une instance de CKAN (avec une organisation existante ou une nouvellement créée).
Nous recevons le message d'erreur suivant en retour :
2016-04-11 16:02:16,841 ERROR o.w.a.MarketBuyEndpoint [pool-5-thread-6] Error calling App Factory for app=66e23b9b-65e1-5dce-a520-e1d8fed8b12a and user=0affe27b-1be4-4430-9c49-3557b3373a77: uri=https://opendata.ozwillo.com/api/3/action/create-ozwillo-organization, status=Forbidden
Cordialement,
Benoit.
Files
Associated revisions
History
Updated by Serghei Mihai almost 9 years ago
- Status changed from Nouveau to Information nécessaire
- Assignee set to Benoit Orihuela
Bonjour,
Je constate dans les logs que la signature HMAC des requetes n'est pas valide.
Est-ce que par hasard la clé de signature a changé de votre côté?
Merci
Updated by Benoit Orihuela almost 9 years ago
Bonjour,
Non, rien n'a changé de notre côté.
Si vous voulez, on peut temporairement changer l'instantiation_secret pour un truc bateau (et non sécurisé), genre "toto"; pour vérifier si ça vient de votre code (mauvais calcul, mauvais paramètres en entrée) ou de votre config (mauvais secret), puis rebasculer sur un nouveau secret "béton" par la suite.
Cordialement,
Benoit.
Updated by Serghei Mihai almost 9 years ago
- File 0001-hmac-signature-could-be-upper-or-lower-case-10617.patch 0001-hmac-signature-could-be-upper-or-lower-case-10617.patch added
- Status changed from Information nécessaire to En cours
- Assignee changed from Benoit Orihuela to Serghei Mihai
- Patch proposed changed from No to Yes
Suite aux échanges en privé on a detecté que la signature de la requete arrive maintenant en minuscules alors que je vérifiais uniquement la forme majuscule.
Apr 11 18:15:26 ckan gunicorn[6455]: 2016-04-11 18:15:26,490 INFO [ckanext.ozwillo_organization_api.plugin] Invalid HMAC Apr 11 18:15:26 ckan gunicorn[6455]: 2016-04-11 18:15:26,490 INFO [ckanext.ozwillo_organization_api.plugin] received hmac: 8b17389c3c09453da812b5a3287a5bbd9e4e1014 Apr 11 18:15:26 ckan gunicorn[6455]: 2016-04-11 18:15:26,490 INFO [ckanext.ozwillo_organization_api.plugin] expected hmac: 8B17389C3C09453DA812B5A3287A5BBD9E4E1014
Ci-joint le patch prenant en compte les 2 formes
Updated by Benjamin Dauvergne almost 9 years ago
Le je ferai plutôt un received_hmac.lower() le module hmac ne renvoie que des minuscules (mais tu peux mettre un .lower() dessus aussi).
Updated by Serghei Mihai almost 9 years ago
- Status changed from En cours to Résolu (à déployer)
commit cd3002be5f3347b45a5c7ffff38916e011c8c8c9
Author: Serghei Mihai <smihai@entrouvert.com>
Date: Tue Apr 12 09:43:09 2016 +0200
compare hmac signature with lower case (#10617)
Updated by Serghei Mihai almost 9 years ago
- Status changed from Résolu (à déployer) to Solution déployée
Deployé en prod.
Updated by Benoit Orihuela almost 9 years ago
Testé, ça fonctionne à nouveau. Merci pour votre réactivité.
Cordialement,
Benoit.
Updated by Benoit Orihuela almost 9 years ago
Re-bonjour,
Par contre, il faudrait repasser à un instanciation_secret un peu plus solide que toto :-)
Souhaitez-vous restaurer l'ancien ou en générer un nouveau (dans ce cas là, envoyez-le moi par courriel) ?
Cordialement,
Benoit.
PS : attention au commentaire erroné juste au dessus de la ligne modifiée dans le patch, qui stipule que le HMAC reçu est en majuscules
compare hmac signature with lower case (#10617)