Bug #10617
Impossible de provisionner une instance de CKAN
0%
Description
Bonjour,
Nous n'arrivons plus à provisionner une instance de CKAN (avec une organisation existante ou une nouvellement créée).
Nous recevons le message d'erreur suivant en retour :
2016-04-11 16:02:16,841 ERROR o.w.a.MarketBuyEndpoint [pool-5-thread-6] Error calling App Factory for app=66e23b9b-65e1-5dce-a520-e1d8fed8b12a and user=0affe27b-1be4-4430-9c49-3557b3373a77: uri=https://opendata.ozwillo.com/api/3/action/create-ozwillo-organization, status=Forbidden
Cordialement,
Benoit.
Fichiers
Révisions associées
Historique
Mis à jour par Serghei Mihai il y a environ 8 ans
- Statut changé de Nouveau à Information nécessaire
- Assigné à mis à Benoit Orihuela
Bonjour,
Je constate dans les logs que la signature HMAC des requetes n'est pas valide.
Est-ce que par hasard la clé de signature a changé de votre côté?
Merci
Mis à jour par Benoit Orihuela il y a environ 8 ans
Bonjour,
Non, rien n'a changé de notre côté.
Si vous voulez, on peut temporairement changer l'instantiation_secret pour un truc bateau (et non sécurisé), genre "toto"; pour vérifier si ça vient de votre code (mauvais calcul, mauvais paramètres en entrée) ou de votre config (mauvais secret), puis rebasculer sur un nouveau secret "béton" par la suite.
Cordialement,
Benoit.
Mis à jour par Serghei Mihai il y a environ 8 ans
- Fichier 0001-hmac-signature-could-be-upper-or-lower-case-10617.patch 0001-hmac-signature-could-be-upper-or-lower-case-10617.patch ajouté
- Statut changé de Information nécessaire à En cours
- Assigné à changé de Benoit Orihuela à Serghei Mihai
- Patch proposed changé de Non à Oui
Suite aux échanges en privé on a detecté que la signature de la requete arrive maintenant en minuscules alors que je vérifiais uniquement la forme majuscule.
Apr 11 18:15:26 ckan gunicorn[6455]: 2016-04-11 18:15:26,490 INFO [ckanext.ozwillo_organization_api.plugin] Invalid HMAC Apr 11 18:15:26 ckan gunicorn[6455]: 2016-04-11 18:15:26,490 INFO [ckanext.ozwillo_organization_api.plugin] received hmac: 8b17389c3c09453da812b5a3287a5bbd9e4e1014 Apr 11 18:15:26 ckan gunicorn[6455]: 2016-04-11 18:15:26,490 INFO [ckanext.ozwillo_organization_api.plugin] expected hmac: 8B17389C3C09453DA812B5A3287A5BBD9E4E1014
Ci-joint le patch prenant en compte les 2 formes
Mis à jour par Benjamin Dauvergne il y a environ 8 ans
Le je ferai plutôt un received_hmac.lower()
le module hmac ne renvoie que des minuscules (mais tu peux mettre un .lower() dessus aussi).
Mis à jour par Serghei Mihai il y a environ 8 ans
Mis à jour par Serghei Mihai il y a environ 8 ans
- Statut changé de En cours à Résolu (à déployer)
commit cd3002be5f3347b45a5c7ffff38916e011c8c8c9 Author: Serghei Mihai <smihai@entrouvert.com> Date: Tue Apr 12 09:43:09 2016 +0200 compare hmac signature with lower case (#10617)
Mis à jour par Serghei Mihai il y a environ 8 ans
- Statut changé de Résolu (à déployer) à Solution déployée
Deployé en prod.
Mis à jour par Benoit Orihuela il y a environ 8 ans
Testé, ça fonctionne à nouveau. Merci pour votre réactivité.
Cordialement,
Benoit.
Mis à jour par Benoit Orihuela il y a environ 8 ans
Re-bonjour,
Par contre, il faudrait repasser à un instanciation_secret un peu plus solide que toto :-)
Souhaitez-vous restaurer l'ancien ou en générer un nouveau (dans ce cas là, envoyez-le moi par courriel) ?
Cordialement,
Benoit.
PS : attention au commentaire erroné juste au dessus de la ligne modifiée dans le patch, qui stipule que le HMAC reçu est en majuscules
Mis à jour par Serghei Mihai il y a environ 8 ans
Bonjour,
J'ai remis l'ancien secret.
Cordialement,
compare hmac signature with lower case (#10617)