Project

General

Profile

Bug #10617

Impossible de provisionner une instance de CKAN

Added by Benoit Orihuela over 6 years ago. Updated over 6 years ago.

Status:
Fermé
Priority:
Immediat
Assignee:
Start date:
11 April 2016
Due date:
% Done:

0%

Estimated time:
Patch proposed:
Yes
Planning:

Description

Bonjour,

Nous n'arrivons plus à provisionner une instance de CKAN (avec une organisation existante ou une nouvellement créée).

Nous recevons le message d'erreur suivant en retour :

2016-04-11 16:02:16,841 ERROR o.w.a.MarketBuyEndpoint [pool-5-thread-6] Error calling App Factory for app=66e23b9b-65e1-5dce-a520-e1d8fed8b12a and user=0affe27b-1be4-4430-9c49-3557b3373a77: uri=https://opendata.ozwillo.com/api/3/action/create-ozwillo-organization, status=Forbidden

Cordialement,

Benoit.


Files

Associated revisions

Revision cd3002be (diff)
Added by Serghei Mihai over 6 years ago

compare hmac signature with lower case (#10617)

History

#1

Updated by Serghei Mihai over 6 years ago

  • Status changed from Nouveau to Information nécessaire
  • Assignee set to Benoit Orihuela

Bonjour,

Je constate dans les logs que la signature HMAC des requetes n'est pas valide.
Est-ce que par hasard la clé de signature a changé de votre côté?

Merci

#2

Updated by Benoit Orihuela over 6 years ago

Bonjour,

Non, rien n'a changé de notre côté.

Si vous voulez, on peut temporairement changer l'instantiation_secret pour un truc bateau (et non sécurisé), genre "toto"; pour vérifier si ça vient de votre code (mauvais calcul, mauvais paramètres en entrée) ou de votre config (mauvais secret), puis rebasculer sur un nouveau secret "béton" par la suite.

Cordialement,

Benoit.

#3

Updated by Serghei Mihai over 6 years ago

Suite aux échanges en privé on a detecté que la signature de la requete arrive maintenant en minuscules alors que je vérifiais uniquement la forme majuscule.

Apr 11 18:15:26 ckan gunicorn[6455]: 2016-04-11 18:15:26,490 INFO  [ckanext.ozwillo_organization_api.plugin] Invalid HMAC
Apr 11 18:15:26 ckan gunicorn[6455]: 2016-04-11 18:15:26,490 INFO  [ckanext.ozwillo_organization_api.plugin] received hmac: 8b17389c3c09453da812b5a3287a5bbd9e4e1014
Apr 11 18:15:26 ckan gunicorn[6455]: 2016-04-11 18:15:26,490 INFO  [ckanext.ozwillo_organization_api.plugin] expected hmac: 8B17389C3C09453DA812B5A3287A5BBD9E4E1014

Ci-joint le patch prenant en compte les 2 formes

#4

Updated by Benjamin Dauvergne over 6 years ago

Le je ferai plutôt un received_hmac.lower() le module hmac ne renvoie que des minuscules (mais tu peux mettre un .lower() dessus aussi).

#6

Updated by Benjamin Dauvergne over 6 years ago

Ack.

#7

Updated by Serghei Mihai over 6 years ago

  • Status changed from En cours to Résolu (à déployer)
commit cd3002be5f3347b45a5c7ffff38916e011c8c8c9
Author: Serghei Mihai <smihai@entrouvert.com>
Date:   Tue Apr 12 09:43:09 2016 +0200

    compare hmac signature with lower case (#10617)
#8

Updated by Serghei Mihai over 6 years ago

  • Status changed from Résolu (à déployer) to Solution déployée

Deployé en prod.

#9

Updated by Benoit Orihuela over 6 years ago

Testé, ça fonctionne à nouveau. Merci pour votre réactivité.

Cordialement,

Benoit.

#10

Updated by Serghei Mihai over 6 years ago

  • Status changed from Solution déployée to Fermé
#11

Updated by Benoit Orihuela over 6 years ago

Re-bonjour,

Par contre, il faudrait repasser à un instanciation_secret un peu plus solide que toto :-)

Souhaitez-vous restaurer l'ancien ou en générer un nouveau (dans ce cas là, envoyez-le moi par courriel) ?

Cordialement,

Benoit.

PS : attention au commentaire erroné juste au dessus de la ligne modifiée dans le patch, qui stipule que le HMAC reçu est en majuscules

#12

Updated by Serghei Mihai over 6 years ago

Bonjour,

J'ai remis l'ancien secret.

Cordialement,

Also available in: Atom PDF