将 python 脚本 TBA SHA1 更改为 SHA256答案

【问题标题】：Changing python script TBA SHA1 to SHA256将 python 脚本 TBA SHA1 更改为 SHA256
【发布时间】：2021-05-21 00:25:09
【问题描述】：

我最近被一家使用 NetSuite 的大公司聘为初级开发人员，这是我的第一份工作。一位老开发人员编写了一个处理设计师制作的图片的python脚本，当图片上传到特定文件夹时，该脚本会将图片上传到NetSuite。

由于脚本使用 SHA1，我需要将 TBA 更改为 SHA256，因为 NetSuite 不再支持 SHA1。

我很难理解旧开发人员的代码，并找到有关如何将 TBA 从 SHA1 更改为 SHA256 的文档..

这些是来自代码的 sn-ps。

import datetime
import requests
import os
import oauth2 as oauth
import json
import time
import base64
import sys
import hashlib
import hmac
    url = "https://xxxxx=1"
token = oauth.Token(key="xxxxxxxxxxx",secret="xxxxxxxxxx")
consumer = oauth.Consumer(key="xxxxxxxxxxxxxxxx",secret="xxxxxxxxxxxxxxxx")
realm="xxxxxxxxxxxxxx"
signature_method = oauth.SignatureMethod_HMAC_SHA1()

在这部分我知道他初始化了方法oauth.SignatureMethod_HMAC_SHA1()。

然后当我转到oauth 文件时，我发现了这个

class SignatureMethod_HMAC_SHA1(SignatureMethod):
    name = 'HMAC-SHA1'

    def signing_base(self, request, consumer, token):
        if (not hasattr(request, 'normalized_url') or request.normalized_url is None):
            raise ValueError("Base URL for request is not set.")

        sig = (
            escape(request.method),
            escape(request.normalized_url),
            escape(request.get_normalized_parameters()),
        )

        key = '%s&' % escape(consumer.secret)
        if token:
            key += escape(token.secret)
        raw = '&'.join(sig)
        return key.encode('ascii'), raw.encode('ascii')

    def sign(self, request, consumer, token):
        """Builds the base signature string."""
        key, raw = self.signing_base(request, consumer, token)

        hashed = hmac.new(key, raw, sha1)

        # Calculate the digest base 64.
        return binascii.b2a_base64(hashed.digest())[:-1]

我查看了这个文件，它不包含任何包含 SHA256 的方法。只有 SHA1 和 PLAINTEXT。

我尝试将值更改为 SHA256，但这当然不起作用。我试图查找关于 oAuth2 的文档，但我只发现了非常少量的信息，而且它似乎只包含 SHA1 和 PLAINTEXT..

那么如何更改脚本以使用 SHA256 而不是 SHA1？

编辑回答评论 Hashlib 包含以下内容：

    class _Hash(object):
    digest_size: int
    block_size: int

    # [Python documentation note] Changed in version 3.4: The name attribute has
    # been present in CPython since its inception, but until Python 3.4 was not
    # formally specified, so may not exist on some platforms
    name: str

    def __init__(self, data: _DataType = ...) -> None: ...

    def copy(self) -> _Hash: ...
    def digest(self) -> bytes: ...
    def hexdigest(self) -> str: ...
    def update(self, arg: _DataType) -> None: ...

def md5(arg: _DataType = ...) -> _Hash: ...
def sha1(arg: _DataType = ...) -> _Hash: ...
def sha224(arg: _DataType = ...) -> _Hash: ...
def sha256(arg: _DataType = ...) -> _Hash: ...
def sha384(arg: _DataType = ...) -> _Hash: ...
def sha512(arg: _DataType = ...) -> _Hash: ...

def new(name: str, data: _DataType = ...) -> _Hash: ...

algorithms_guaranteed: AbstractSet[str]
algorithms_available: AbstractSet[str]

def pbkdf2_hmac(hash_name: str, password: _DataType, salt: _DataType, iterations: int, dklen: Optional[int] = ...) -> bytes: ...

if sys.version_info >= (3, 6):
    class _VarLenHash(object):
        digest_size: int
        block_size: int
        name: str

        def __init__(self, data: _DataType = ...) -> None: ...

        def copy(self) -> _VarLenHash: ...
        def digest(self, length: int) -> bytes: ...
        def hexdigest(self, length: int) -> str: ...
        def update(self, arg: _DataType) -> None: ...

    sha3_224 = _Hash
    sha3_256 = _Hash
    sha3_384 = _Hash
    sha3_512 = _Hash
    shake_128 = _VarLenHash
    shake_256 = _VarLenHash

    def scrypt(password: _DataType, *, salt: _DataType, n: int, r: int, p: int, maxmem: int = ..., dklen: int = ...) -> bytes: ...

    class _BlakeHash(_Hash):
        MAX_DIGEST_SIZE: int
        MAX_KEY_SIZE: int
        PERSON_SIZE: int
        SALT_SIZE: int

        def __init__(self, data: _DataType = ..., digest_size: int = ..., key: _DataType = ..., salt: _DataType = ..., person: _DataType = ..., fanout: int = ..., depth: int = ..., leaf_size: int = ..., node_offset: int = ..., node_depth: int = ..., inner_size: int = ..., last_node: bool = ...) -> None: ...

    blake2b = _BlakeHash
    blake2s = _BlakeHash

【问题讨论】：

在这一行hashed = hmac.new(key, raw, sha1)sha1 来自哪里
它来自 HashLib Lib，其中包含以下代码行等： def md5(arg: _DataType = ...) -> _Hash: ... def sha1(arg: _DataType = .. .) -> _Hash: ... def sha224(arg: _DataType = ...) -> _Hash: ... def sha256(arg: _DataType = ...) -> _Hash: ... def sha384(arg: _DataType = ...) -> _Hash: ... def sha512(arg: _DataType = ...) -> _Hash: ... 我在帖子中添加了一个 EDIT，所以你可以看到 Hashlib 包含的内容:)
我投了赞成票，希望有更多知识的人可以帮助您。不过，还有一点需要澄清，当您说您尝试用 sha256 替换值但它不起作用时，您替换了什么以及它以什么方式不起作用？如果出现错误，请提供回溯
我只是将名为 SHA1 的变量替换为 SHA256，我没想到它会起作用，但我还是试了一下，因为你永远不知道...我收到 400 错误

标签： python oauth-2.0 sha256 hmac hashlib

【解决方案1】：

Haslib 文件中已经有 sha256() 函数，所以你可以尝试在 oauth 文件中添加一个新的类 SignatureMethod_HMAC_SHA256，它可以类似于那个 SHA1。

只需像这样更改 hmac.new() 函数的参数：

hashed = hmac.new(key, raw, sha256)

整个班级可以是这样的：

class SignatureMethod_HMAC_SHA256(SignatureMethod):
    name = 'HMAC-SHA256'

    def signing_base(self, request, consumer, token):
        if (not hasattr(request, 'normalized_url') or request.normalized_url is None):
            raise ValueError("Base URL for request is not set.")

        sig = (
            escape(request.method),
            escape(request.normalized_url),
            escape(request.get_normalized_parameters()),
        )

        key = '%s&' % escape(consumer.secret)
        if token:
            key += escape(token.secret)
        raw = '&'.join(sig)
        return key.encode('ascii'), raw.encode('ascii')

    def sign(self, request, consumer, token):
        """Builds the base signature string."""
        key, raw = self.signing_base(request, consumer, token)

        hashed = hmac.new(key, raw, sha256)

        # Calculate the digest base 64.
        return binascii.b2a_base64(hashed.digest())[:-1]

然后您可以简单地在脚本中调用新的 SHA256 方法，而不是不推荐使用的 SHA1 方法：

signature_method = oauth.SignatureMethod_HMAC_SHA256()

【讨论】：