Tweet
Usermanagement / updateuserpwdh / hashing
Edit: Lösung im vorletzten Post.
Hallo zusammen,
ich finde leider nichts, keine vernünftige Doku, keine Codebeispiel oder Beiträge irgendwo.
Alles was ich habe, sind die beiden PDFs von Loxone in v13 (1300_Usermanagement.pdf, 1300_Communicating-with-the-Miniserver.pdf).
<domain>/jdev/sps/updateuserpwdh/{uuid}/{value} ist soweit klar und funktioniert auch. Ich sehe in der Loxone Config, dass das Passwort geändert wurde und ich mich nicht mehr einloggen kann
In 1300_Usermanagement.pdf steht nicht viel. Es wird nur auf Hashing in 1300_Communicating-with-the-Miniserver.pdf verwiesen.
{value}: hashed password-value
Edit: Im aktuelleren Dokument von 2022.07.20 steht, genauer erklärt, wie man den Hash berechnet. Zu finden unter Loxone API, Ports und Domains
In 1300_Communicating-with-the-Miniserver.pdf steht schon mehr, lässt aber meiner Meinung nach viel Interpretationsspielraum
getkey2 liefert als einziges key und hashAlg, worauf später verwiesen wird.
Außerdem kann ich nur vermuten, ob ich den key erst decodieren muss oder nicht.
Hier steht nicht genau, was mit user : passHash gemeint ist, aber in einem anderen Abschnitt ("Acquiring tokens") wird es klarer: {user}:{pwHash}
Ich gehe mal davon aus, dass ist hier auch gemeint.
Zum Testen nehme ich einfach einen online hmac-sha256.
In einem anderen Abschnitt ("Acquiring tokens") wird verlangt, dass der pwHash uppercase sein soll.
Ist das hier auch der Fall?
Merkwürdig, aber auch kein Problem.
Funktioniert nur leider alles nicht
getkey2:key direkt oder hex decoded.
pwHash uppercase oder lowercase.
Und in Kombination. Auch mit getkey.
Ich kann nicht sagen, ich habe wirklich alle Kombinationen abgedeckt, aber sehr viel probiert.
Ich bin mir nicht mal sicher, wie lange die Keys gültig sind. Aber ich habe immer einen 200er bekommen und es war ein neues Passwort gesetzt.
Habe auch schon probiert den hash, also {value} nicht in hex umzuwandeln.
Habe auch probiert für {value} direkt der pwHash zu verwenden.
Keine Chance. Login klappt nicht und wenn ich nicht alle paar Versuche über die Config ein Passwort setze und mich erfolgreich einlogge, dann hab ich permanent Zwangpausen, weil ich das Passwort falsch eingebe
Kennt jemand ein Beispiel, das ich mir anschauen kann oder hat das schon jemand gelöst. Mir egal welche Programmiersprache oder welche Ideen ihr habt, ich nehme alles
Grüße,
Steve
Hallo zusammen,
ich finde leider nichts, keine vernünftige Doku, keine Codebeispiel oder Beiträge irgendwo.
Alles was ich habe, sind die beiden PDFs von Loxone in v13 (1300_Usermanagement.pdf, 1300_Communicating-with-the-Miniserver.pdf).
<domain>/jdev/sps/updateuserpwdh/{uuid}/{value} ist soweit klar und funktioniert auch. Ich sehe in der Loxone Config, dass das Passwort geändert wurde und ich mich nicht mehr einloggen kann
In 1300_Usermanagement.pdf steht nicht viel. Es wird nur auf Hashing in 1300_Communicating-with-the-Miniserver.pdf verwiesen.
{value}: hashed password-value
Edit: Im aktuelleren Dokument von 2022.07.20 steht, genauer erklärt, wie man den Hash berechnet. Zu finden unter Loxone API, Ports und Domains
In 1300_Communicating-with-the-Miniserver.pdf steht schon mehr, lässt aber meiner Meinung nach viel Interpretationsspielraum
1. the key from the “jdev/sys/getkey”, “jdev/sys/getkey2” or “jdev/sys/getvisusalt” responses are hex-encoded
Außerdem kann ich nur vermuten, ob ich den key erst decodieren muss oder nicht.
2. create a hash from the desired text (user : passHash, visuPwHash, token) using HMAC-SHA1 or HMAC-SHA256 with the {key} received in the answer
Ich gehe mal davon aus, dass ist hier auch gemeint.
Zum Testen nehme ich einfach einen online hmac-sha256.
2.a. To create ‘passHash’ & ‘visuPwHash’ use the hashing algorithm {hashAlg} that is defined in the answer of the corresponding requests
hashAlg habe ich von getkey2 bekommen. In meinem Fall SHA256.
hashAlg habe ich von getkey2 bekommen. In meinem Fall SHA256.
Ist das hier auch der Fall?
3. encode the hash back to hex
Funktioniert nur leider alles nicht
getkey2:key direkt oder hex decoded.
pwHash uppercase oder lowercase.
Und in Kombination. Auch mit getkey.
Ich kann nicht sagen, ich habe wirklich alle Kombinationen abgedeckt, aber sehr viel probiert.
Ich bin mir nicht mal sicher, wie lange die Keys gültig sind. Aber ich habe immer einen 200er bekommen und es war ein neues Passwort gesetzt.
Habe auch schon probiert den hash, also {value} nicht in hex umzuwandeln.
Habe auch probiert für {value} direkt der pwHash zu verwenden.
Keine Chance. Login klappt nicht und wenn ich nicht alle paar Versuche über die Config ein Passwort setze und mich erfolgreich einlogge, dann hab ich permanent Zwangpausen, weil ich das Passwort falsch eingebe
Kennt jemand ein Beispiel, das ich mir anschauen kann oder hat das schon jemand gelöst. Mir egal welche Programmiersprache oder welche Ideen ihr habt, ich nehme alles
Grüße,
Steve
Kommentar