我目前正在我的网络应用程序中实现 Reddit OAuth2 登录。握手和 token 交换在本地测试时工作正常,但在服务器上运行时(托管在“OpenShift”DIY 盒式磁带上)我收到以下错误:
java.security.InvalidAlgorithmParameterException: Prime size must be
multiple of 64, and can only range from 512 to 1024 (inclusive)
结果是
java.lang.RuntimeException: Could not generate DH keypair
我一天中的大部分时间都在搜索,并找到了不同的解决方案,从更改 Java 版本到使用 BouncyCaSTLe。但是,我使用的是 Scribe库,所以我不认为我可以在不 fork 和更改抄写员基础的情况下实现 BouncyCaSTLe,这违背了它的目的。
正在安装 JCE Unlimited Strength也出现了,但我不能在 OpenShift 上这样做,因为没有根访问权限(也许可以让他们的团队之一来做)。
正在使用的 java 版本是(取自 java -version):
本地测试机:
java version "1.7.0_51"
OpenJDK Runtime Environment (IcedTea 2.4.4) (7u51-2.4.4-1ubuntu1)
OpenJDK 64-Bit Server VM (build 24.45-b08, mixed mode)
OpenShift 服务器:
java version "1.7.0_51"
OpenJDK Runtime Environment (rhel-2.4.4.1.el6_5-i386 u51-b02)
OpenJDK Server VM (build 24.45-b08, mixed mode)
我不知道我能做些什么来解决这个问题。希望我是愚蠢的或者误解了什么,所以任何可能的解决方案都会很棒!
--
编辑 1
返回错误的请求代码(使用 Scribe,正如我提到的,所以可能用处不大)。 token 端点是 https://ssl.reddit.com/api/v1/access_token 使用 POST。正如我上面所说,这适用于我的测试机。
OAuthRequest request = new OAuthRequest(getAccessTokenVerb(), getAccessTokenEndpoint());
request.addHeader("Authorization", "Basic"
+Base64.encode((config.getApiKey()+":"+config.getApiSecret()).getBytes()));
request.addBodyParameter("state", "none");
request.addBodyParameter(OAuthConstants.SCOPE, config.getScope());
request.addBodyParameter(OAuthConstants.CLIENT_ID, config.getApiKey());
request.addBodyParameter(OAuthConstants.REDIRECT_URI, config.getCallback());
request.addBodyParameter(OAuthConstants.CODE, verifier.getValue());
request.addBodyParameter("grant_type", "authorization_code");
Response response = request.send(); // Errors here from Request.createConnection in the Scribe code
return getAccessTokenExtractor().extract(response.getBody());
最佳答案
首先,“无限力量”在这里无关紧要。这将解决完全不同的问题,即您不能使用 AES-256 使用密码套件(如果对等方坚持要求它们根本无法握手)。 JVM 的位大小也无关紧要;对 DH 的这个(不是真正合理的)限制在 SunJCE 的“到处运行”字节码中。
您可以将 BouncyCaSTLe 用作加密提供程序,而无需更改执行 SSL 连接的代码(在您的情况下是 Scribe),但据我所知,让 BC 成为首选提供程序会导致其他问题。如果您仍然想尝试,请将 bcprov-version.jar 放入 JRE/lib/exit 并编辑 JRE/lib/security/java.security;或者将它放在类路径中的任何位置并让您的初始化代码调用 java.security.Security.insertProviderAt (new org.bouncycaSTLe.jce.provider.BouncyCaSTLeProvider(), position);
我建议从您的本地系统为何工作开始。当我尝试使用 openssl 的 ssl.reddit.com 时,它同时支持 ECDHE-RSA(使用 P-256)和使用 dh 2048 位的 DHE-RSA。 Suncle Java 7 确实支持并更喜欢 ECDHE,我希望 OpenJDK 也支持,但可能不支持或有时不支持;我知道 RedHat 直到最近才在其 openssl 的 rpm 中提升了 ECC,如果他们在 openjdk 中也这样做,我也不会感到惊讶。如果您编译并运行以下命令(使用 ssl.reddit.com 443),它将使用您的 JRE 的所有默认 SSL 设置(我期望/希望 Scribe 也在使用)告诉您系统上协商了哪些套件:
//nopackage DThompson 2012.08.13b
import java.net.InetSocketAddress;
import java.net.Socket;
import javax.net.ssl.SSLSocket;
import javax.net.ssl.SSLSocketFactory;
public class JustBConnectSSL {
/* (optionally bind and) just make SSL connection, for testing reach and trust
* uses default providers, truststore (normally JRE/lib/security/[jsse]cacerts),
* and keystore (normally none), override with -Djavax.net.ssl.{trust,key}Store*
*/
public static void main (String[] args) throws Exception {
if( args.length < 2 ){ System.out.println ("Usage: tohost port [fromaddr [fromport]]"); return; }
Socket sock = SSLSocketFactory.getDefault().createSocket();
if( args.length > 2 )
sock.bind (new InetSocketAddress (args[2], args.length>3? Integer.parseInt(args[3]): 0));
sock.connect (new InetSocketAddress (args[0], Integer.parseInt(args[1])));
System.out.println (sock.getInetAddress().getHostName() + " = " + sock.getInetAddress().getHostAddress());
((SSLSocket)sock).startHandshake();
System.out.println ("connect okay " + ((SSLSocket)sock).getSession().getCipherSuite());
}
}
如果测试得到 _DHE_RSA_something,则您的 JRE 中的加密提供程序必须与 Suncle 的不同,要么由 Ubuntu 更改,要么由系统上的某些自定义或补丁更改。如果测试得到 _ECDHE_RSA_something 但 OpenShift 没有,他们可能以某种方式禁用了 ECC/ECDHE。如果他们能够启用那是最好的(ECDHE-P-256 至少与 DH-2048 一样安全并且可能更高效)。否则,直到 Oracle 修复此问题(显然在 8 中)之前,我认为唯一可以依赖的方法是禁用 DHE 套件(并退回普通 RSA,这可能对 NSA 不安全);这在实际创建 SSLSocket 的代码中是最简单的,但是如果 Scribe(像大多数 Java Web 客户端一样)使用 URL -> HttpsUrlConnection 及其默认的 SSLSocketFactory,您可以替换一个调整后的工厂,该工厂根据问题 #6851461 更改 EnabledCiphers 列表(尽管对于具有良好公共(public)证书的主机,您不需要该解决方案的 custom-trustmanager 部分。
关于Java SSL DH key 对生成 - 质数错误,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/21442547/
大约一年前,我决定确保每个包含非唯一文本的Flash通知都将从模块中的方法中获取文本。我这样做的最初原因是为了避免一遍又一遍地输入相同的字符串。如果我想更改措辞,我可以在一个地方轻松完成,而且一遍又一遍地重复同一件事而出现拼写错误的可能性也会降低。我最终得到的是这样的:moduleMessagesdefformat_error_messages(errors)errors.map{|attribute,message|"Error:#{attribute.to_s.titleize}#{message}."}enddeferror_message_could_not_find(obje
我遵循MichaelHartl的“RubyonRails教程:学习Web开发”,并创建了检查用户名和电子邮件长度有效性的测试(名称最多50个字符,电子邮件最多255个字符)。test/helpers/application_helper_test.rb的内容是:require'test_helper'classApplicationHelperTest在运行bundleexecraketest时,所有测试都通过了,但我看到以下消息在最后被标记为错误:ERROR["test_full_title_helper",ApplicationHelperTest,1.820016791]test
我是rails的新手,想在form字段上应用验证。myviewsnew.html.erb.....模拟.rbclassSimulation{:in=>1..25,:message=>'Therowmustbebetween1and25'}end模拟Controller.rbclassSimulationsController我想检查模型类中row字段的整数范围,如果不在范围内则返回错误信息。我可以检查上面代码的范围,但无法返回错误消息提前致谢 最佳答案 关键是您使用的是模型表单,一种显示ActiveRecord模型实例属性的表单。c
我正在尝试编写一个将文件上传到AWS并公开该文件的Ruby脚本。我做了以下事情:s3=Aws::S3::Resource.new(credentials:Aws::Credentials.new(KEY,SECRET),region:'us-west-2')obj=s3.bucket('stg-db').object('key')obj.upload_file(filename)这似乎工作正常,除了该文件不是公开可用的,而且我无法获得它的公共(public)URL。但是当我登录到S3时,我可以正常查看我的文件。为了使其公开可用,我将最后一行更改为obj.upload_file(file
我克隆了一个rails仓库,我现在正尝试捆绑安装背景:OSXElCapitanruby2.2.3p173(2015-08-18修订版51636)[x86_64-darwin15]rails-v在您的Gemfile中列出的或native可用的任何gem源中找不到gem'pg(>=0)ruby'。运行bundleinstall以安装缺少的gem。bundleinstallFetchinggemmetadatafromhttps://rubygems.org/............Fetchingversionmetadatafromhttps://rubygems.org/...Fe
在Cooper的书BeginningRuby中,第166页有一个我无法重现的示例。classSongincludeComparableattr_accessor:lengthdef(other)@lengthother.lengthenddefinitialize(song_name,length)@song_name=song_name@length=lengthendenda=Song.new('Rockaroundtheclock',143)b=Song.new('BohemianRhapsody',544)c=Song.new('MinuteWaltz',60)a.betwee
我是Google云的新手,我正在尝试对其进行首次部署。我的第一个部署是RubyonRails项目。我基本上是在关注thisguideinthegoogleclouddocumentation.唯一的区别是我使用的是我自己的项目,而不是他们提供的“helloworld”项目。这是我的app.yaml文件runtime:customvm:trueentrypoint:bundleexecrackup-p8080-Eproductionconfig.ruresources:cpu:0.5memory_gb:1.3disk_size_gb:10当我转到我的项目目录并运行gcloudprevie
我有两个Rails模型,即Invoice和Invoice_details。一个Invoice_details属于Invoice,一个Invoice有多个Invoice_details。我无法使用accepts_nested_attributes_forinInvoice通过Invoice模型保存Invoice_details。我收到以下错误:(0.2ms)BEGIN(0.2ms)ROLLBACKCompleted422UnprocessableEntityin25ms(ActiveRecord:4.0ms)ActiveRecord::RecordInvalid(Validationfa
这个问题在这里已经有了答案:Arraysmisbehaving(1个回答)关闭6年前。是否应该这样,即我误解了,还是错误?a=Array.new(3,Array.new(3))a[1].fill('g')=>[["g","g","g"],["g","g","g"],["g","g","g"]]它不应该导致:=>[[nil,nil,nil],["g","g","g"],[nil,nil,nil]]
尝试在我的RoR应用程序中实现计数器缓存列时出现错误Unknownkey(s):counter_cache。我在这个问题中实现了模型关联:Modelassociationquestion这是我的迁移:classAddVideoVotesCountToVideos0Video.reset_column_informationVideo.find(:all).eachdo|p|p.update_attributes:videos_votes_count,p.video_votes.lengthendenddefself.downremove_column:videos,:video_vot