<h1 id="%E7%AD%94%E3%81%88%E3%81%A0%E3%81%91%E7%9F%A5%E3%82%8A%E3%81%9F%E3%81%84%E6%96%B9%E5%90%91%E3%81%91" data-line="0" class="code-line">
<a class="header-anchor-link" href="#%E7%AD%94%E3%81%88%E3%81%A0%E3%81%91%E7%9F%A5%E3%82%8A%E3%81%9F%E3%81%84%E6%96%B9%E5%90%91%E3%81%91" aria-hidden="true"></a> 答えだけ知りたい方向け</h1>
<h2 id="secret_hash%E3%81%AE%E6%89%95%E3%81%84%E5%87%BA%E3%81%97" data-line="2" class="code-line">
<a class="header-anchor-link" href="#secret_hash%E3%81%AE%E6%89%95%E3%81%84%E5%87%BA%E3%81%97" aria-hidden="true"></a> SECRET_HASHの払い出し</h2>
<div class="code-block-container"><pre><code class="code-line" data-line="4">$ echo -n "&lt;username&gt;&lt;app_client_id&gt;" | openssl dgst -sha256 -hmac "&lt;key&gt;" -binary | base64
#=&gt; zzz
</code></pre></div><h2 id="%E3%83%91%E3%83%A9%E3%83%A1%E3%83%BC%E3%82%BF%E3%81%ABsecret_hash%E3%82%92%E4%BB%98%E4%B8%8E%E3%81%97%E3%81%9Fcognito%E8%AA%8D%E8%A8%BC%E3%81%AE%E4%BE%8B" data-line="9" class="code-line">
<a class="header-anchor-link" href="#%E3%83%91%E3%83%A9%E3%83%A1%E3%83%BC%E3%82%BF%E3%81%ABsecret_hash%E3%82%92%E4%BB%98%E4%B8%8E%E3%81%97%E3%81%9Fcognito%E8%AA%8D%E8%A8%BC%E3%81%AE%E4%BE%8B" aria-hidden="true"></a> パラメータにSECRET_HASHを付与したCognito認証の例</h2>
<div class="code-block-container"><pre><code class="code-line" data-line="11">$ aws cognito-idp admin-initiate-auth \
--user-pool-id &lt;user-pool-id&gt; \
--client-id &lt;client-id&gt; \
--auth-flow ADMIN_USER_PASSWORD_AUTH \
--auth-parameters "USERNAME=xxx,PASSWORD=yyy,SECRET_HASH=zzz"
</code></pre></div><p data-line="19" class="code-line"><br><br></p>
<h1 id="1.-%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB" data-line="21" class="code-line">
<a class="header-anchor-link" href="#1.-%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB" aria-hidden="true"></a> 1. はじめに</h1>
<p data-line="22" class="code-line">Cognitoでアプリクライアントを作成する際には標準で「クライアントシークレットを生成」オプションがONになっています。</p>
<p data-line="24" class="code-line">この状態でアプリクライアントを作成すると、「アプリクライアントのシークレット」が払い出され、ユーザ認証の際に<code>SECRET_HASH</code>が認証パラメータとして必要となります。</p>
<p data-line="26" class="code-line">▼アプリクライアント作成画面▼<br>
<img src="https://storage.googleapis.com/zenn-user-upload/f7f8ce29f2a1-20220129.png" loading="lazy" class="md-img"></p>
<p data-line="29" class="code-line">▼アプリクライアント画面▼<br>
<img src="https://storage.googleapis.com/zenn-user-upload/f244499904be-20220129.png" loading="lazy" class="md-img"></p>
<p data-line="32" class="code-line"><br><br></p>
<h1 id="2.-%E8%AA%8D%E8%A8%BC%E6%96%B9%E6%B3%95" data-line="35" class="code-line">
<a class="header-anchor-link" href="#2.-%E8%AA%8D%E8%A8%BC%E6%96%B9%E6%B3%95" aria-hidden="true"></a> 2. 認証方法</h1>
<h2 id="%E3%80%8C%E3%82%A2%E3%83%97%E3%83%AA%E3%82%AF%E3%83%A9%E3%82%A4%E3%82%A2%E3%83%B3%E3%83%88%E3%81%AE%E3%82%B7%E3%83%BC%E3%82%AF%E3%83%AC%E3%83%83%E3%83%88%E3%80%8D%E3%81%8C%E6%89%95%E3%81%84%E5%87%BA%E3%81%95%E3%82%8C%E3%81%A6%E3%81%AA%E3%81%84%E5%A0%B4%E5%90%88" data-line="37" class="code-line">
<a class="header-anchor-link" href="#%E3%80%8C%E3%82%A2%E3%83%97%E3%83%AA%E3%82%AF%E3%83%A9%E3%82%A4%E3%82%A2%E3%83%B3%E3%83%88%E3%81%AE%E3%82%B7%E3%83%BC%E3%82%AF%E3%83%AC%E3%83%83%E3%83%88%E3%80%8D%E3%81%8C%E6%89%95%E3%81%84%E5%87%BA%E3%81%95%E3%82%8C%E3%81%A6%E3%81%AA%E3%81%84%E5%A0%B4%E5%90%88" aria-hidden="true"></a> 「アプリクライアントのシークレット」が払い出されてない場合</h2>
<p data-line="39" class="code-line">以下は、<code>admin-initiate-auth コマンド</code>の例になりますが、「アプリクライアントのシークレット」が払い出されてない場合は、<code>USERNAME</code>と<code>PASSWORD</code>だけで認証することができます。</p>
<div class="code-block-container"><pre><code class="code-line" data-line="41">aws cognito-idp admin-initiate-auth \
--user-pool-id &lt;user-pool-id&gt; \
--client-id &lt;client-id&gt; \
--auth-flow ADMIN_USER_PASSWORD_AUTH \
--auth-parameters "USERNAME=xxx,PASSWORD=yyy"
</code></pre></div><h2 id="%E3%80%8C%E3%82%A2%E3%83%97%E3%83%AA%E3%82%AF%E3%83%A9%E3%82%A4%E3%82%A2%E3%83%B3%E3%83%88%E3%81%AE%E3%82%B7%E3%83%BC%E3%82%AF%E3%83%AC%E3%83%83%E3%83%88%E3%80%8D%E3%81%8C%E6%89%95%E3%81%84%E5%87%BA%E3%81%95%E3%82%8C%E3%81%A6%E3%82%8B%E5%A0%B4%E5%90%88" data-line="49" class="code-line">
<a class="header-anchor-link" href="#%E3%80%8C%E3%82%A2%E3%83%97%E3%83%AA%E3%82%AF%E3%83%A9%E3%82%A4%E3%82%A2%E3%83%B3%E3%83%88%E3%81%AE%E3%82%B7%E3%83%BC%E3%82%AF%E3%83%AC%E3%83%83%E3%83%88%E3%80%8D%E3%81%8C%E6%89%95%E3%81%84%E5%87%BA%E3%81%95%E3%82%8C%E3%81%A6%E3%82%8B%E5%A0%B4%E5%90%88" aria-hidden="true"></a> 「アプリクライアントのシークレット」が払い出されてる場合</h2>
<p data-line="51" class="code-line">「アプリクライアントのシークレット」が払い出されてる場合は、<code>USERNAME</code>と<code>PASSWORD</code>に加えて<code>SECRET_HASH</code>が認証パラメータに必要となります。</p>
<div class="code-block-container"><pre><code class="code-line" data-line="53">$ aws cognito-idp admin-initiate-auth \
--user-pool-id &lt;user-pool-id&gt; \
--client-id &lt;client-id&gt; \
--auth-flow ADMIN_USER_PASSWORD_AUTH \
--auth-parameters "USERNAME=xxx,PASSWORD=yyy,SECRET_HASH=zzz"
</code></pre></div><p data-line="61" class="code-line"><br><br></p>
<h1 id="3.-secret_hash%E3%81%AE%E6%89%95%E3%81%84%E5%87%BA%E3%81%97" data-line="63" class="code-line">
<a class="header-anchor-link" href="#3.-secret_hash%E3%81%AE%E6%89%95%E3%81%84%E5%87%BA%E3%81%97" aria-hidden="true"></a> 3. SECRET_HASHの払い出し</h1>
<p data-line="65" class="code-line">AWSのドキュメントから、<code>SECRET_HASH</code>の払い出しには、「Username + Client Id」を「Client Secret Key」でHMAC_SHA256(ハッシュ)化したうえで、Base64に変換する必要があると記載されてます。</p>
<div class="code-block-container"><pre><code class="code-line" data-line="67">Base64 ( HMAC_SHA256 ( "Client Secret Key", "Username" + "Client Id" ) )
</code></pre></div><p data-line="71" class="code-line"><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__75fa236dab509" src="https://embed.zenn.studio/card#zenn-embedded__75fa236dab509" data-content="https%3A%2F%2Faws.amazon.com%2Fjp%2Fpremiumsupport%2Fknowledge-center%2Fcognito-unable-to-verify-secret-hash%2F" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://aws.amazon.com/jp/premiumsupport/knowledge-center/cognito-unable-to-verify-secret-hash/" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://aws.amazon.com/jp/premiumsupport/knowledge-center/cognito-unable-to-verify-secret-hash/</a><br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__24909c7ab7dfa" src="https://embed.zenn.studio/card#zenn-embedded__24909c7ab7dfa" data-content="https%3A%2F%2Fdocs.aws.amazon.com%2Fcognito%2Flatest%2Fdeveloperguide%2Fsigning-up-users-in-your-app.html%23cognito-user-pools-computing-secret-hash" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://docs.aws.amazon.com/cognito/latest/developerguide/signing-up-users-in-your-app.html#cognito-user-pools-computing-secret-hash" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://docs.aws.amazon.com/cognito/latest/developerguide/signing-up-users-in-your-app.html#cognito-user-pools-computing-secret-hash</a></p>
<h2 id="shell%E3%82%B3%E3%83%9E%E3%83%B3%E3%83%89%E3%81%A7secret_hash%E3%82%92%E6%89%95%E3%81%84%E5%87%BA%E3%81%99%E6%96%B9%E6%B3%95" data-line="74" class="code-line">
<a class="header-anchor-link" href="#shell%E3%82%B3%E3%83%9E%E3%83%B3%E3%83%89%E3%81%A7secret_hash%E3%82%92%E6%89%95%E3%81%84%E5%87%BA%E3%81%99%E6%96%B9%E6%B3%95" aria-hidden="true"></a> shellコマンドでSECRET_HASHを払い出す方法</h2>
<p data-line="76" class="code-line">AWSのドキュメントにはPythonやJavaで<code>SECRET_HASH</code>を払い出すサンプルコードが掲載されてますが、shellの場合は以下のコマンドで払い出せます。</p>
<div class="code-block-container"><pre><code class="code-line" data-line="78">$ echo -n "&lt;username&gt;&lt;app_client_id&gt;" | openssl dgst -sha256 -hmac "&lt;key&gt;" -binary | base64
#=&gt; zzz
</code></pre></div><p data-line="83" class="code-line"><br><br></p>
<h1 id="4.-cognito%E8%AA%8D%E8%A8%BC" data-line="85" class="code-line">
<a class="header-anchor-link" href="#4.-cognito%E8%AA%8D%E8%A8%BC" aria-hidden="true"></a> 4. Cognito認証</h1>
<p data-line="87" class="code-line">払い出された<code>SECRET_HASH</code>を認証パラメータに付与することで、「アプリクライアントのシークレット」が払い出されてるアプリクライアントでも認証できるようになります。</p>
<div class="code-block-container"><pre><code class="code-line" data-line="89">$ aws cognito-idp admin-initiate-auth \
--user-pool-id &lt;user-pool-id&gt; \
--client-id &lt;client-id&gt; \
--auth-flow ADMIN_USER_PASSWORD_AUTH \
--auth-parameters "USERNAME=xxx,PASSWORD=yyy,SECRET_HASH=zzz"
</code></pre></div><p data-line="97" class="code-line"><br><br></p>
<h1 id="%E5%8F%82%E8%80%83" data-line="99" class="code-line">
<a class="header-anchor-link" href="#%E5%8F%82%E8%80%83" aria-hidden="true"></a> 参考</h1>
<p data-line="100" class="code-line"><a href="https://gist.github.com/whiler/2f6679123540d03478fb1a96bce5a6fe" target="_blank" rel="nofollow noopener noreferrer">hmac sha256 encode with url safe base64 in bash shell</a></p>


【Cognito】SECRET_HASHをshellで払い出す方法

パラメータにSECRET_HASHを付与したCognito認証の例

「アプリクライアントのシークレット」が払い出されてない場合

「アプリクライアントのシークレット」が払い出されてる場合

shellコマンドでSECRET_HASHを払い出す方法

Discussion