将PHP POST响应的JSON主体编码到HMAC SHA256中,然后编入Base64

时间:2016-06-29 06:54:48

标签: php json post base64 webhooks

如何从HTTP POST webhook接收原始JSON响应?

我正在使用API​​并验证对webhook的POST确实来自相应的公司API,他们建议使用此方法:

  

要允许客户端验证webhook消息实际上来自SIGNIFYD,每个webhook POST消息中都包含X-SIGNIFYD-SEC-HMAC-SHA256标头。 此标头的内容是消息的JSON正文的HMAC SHA256编码的Base64编码输出,使用团队的API密钥作为加密密钥。要验证webhook消息的真实性,您应该自己计算此值并验证它是否等于标题中包含的值。

对于测试环境,"秘密"密钥是ABCDE而不是" Team API密钥。"

我在PHP中接收它是这样的:

<?php

// Get relevant Signifyd custom headers to be used for verification
$header_sig_topic = $_SERVER['HTTP_X_SIGNIFYD_TOPIC'];
$header_sig_sec_hmac = $_SERVER['HTTP_X_SIGNIFYD_SEC_HMAC_SHA256'];

// Get POST body
$webhookContent = "";
$webhook = fopen('php://input' , 'r');
while (!feof($webhook)) {
    $webhookContent .= fread($webhook, 4096);
}
fclose($webhook);

?>

然后我将其处理成哈希,如下所示:

<?php
$sig_ver_sha = hash_hmac('sha256', $webhookContent, $secret);
$sig_ver_hash = base64_encode( $sig_ver_sha );
?>

但是,我在某处出错了,因为我计算的哈希是

OTc1YzExZDY2ZTE1MTVmYmJmNWNhNDRhNWMxZGIzZDk0NmM3OGE4NDU2N2JkYTJmZDJlYWI0ODRhNjlhNTdiYg==

虽然相同的样本响应头的标题始终带有

W+D70ded8u5DG7P4BcG0u2etvAqQZvxz70Q4OXh0vlY=

我以为我在某种程度上弄错了JSOn的身体所以我已经尝试了json_encode和json_decode的每一个组合,但没有任何帮助,我的哈希从不匹配。

我还尝试使用$webhookContent = json_decode(file_get_contents('php://input'), true);来存储POST正文,但这只是空的($ _POST也不起作用)。

除了收到JSON之外,我还有其他错误吗?

作为测试响应正文的JSON,它始终带有W+D70ded8u5DG7P4BcG0u2etvAqQZvxz70Q4OXh0vlY=作为用于验证的哈希键:

  

{ "analysisUrl": "https://signifyd.com/v2/cases/1/analysis", "entriesUrl": "https://signifyd.com/v2/cases/1/entries", "notesUrl": "https://signifyd.com/v2/cases/1/notes", "orderUrl": "https://signifyd.com/v2/cases/1/order", "guaranteeEligible":false, "status":"DISMISSED", "uuid":"709b9107-eda0-4cdd-bdac-a82f51a8a3f3", "headline":"John Smith", "reviewDisposition":null, "associatedTeam":{ "teamName":"anyTeam", "teamId":26, "getAutoDismiss":true, "getTeamDismissalDays":2 }, "orderId":"19418", "orderDate":"2013-06-17T06:20:47-0700", "orderAmount":365.99, "createdAt":"2013-11-05T14:23:26-0800", "updatedAt":"2013-11-05T14:23:26-0800", "adjustedScore":262.6666666666667, "investigationId":1, "score":262.6666666666667, "caseId":1, "guaranteeDisposition":"APPROVED"}

如果查看我出错的地方会有所帮助,可以提供一个示例,但它是用Python编写的:

Mac sha256HMAC = javax.crypto.Mac.getInstance("HmacSHA256");
SecretKeySpec secretKey = new SecretKeySpec(teamAPIKEY.getBytes(), "HmacSHA256");
sha256HMAC.init(secretKey);
String encodedHMAC256 = Base64.encodeBase64String(sha256HMAC.doFinal(jsonBody.getBytes("UTF-8")));

1 个答案:

答案 0 :(得分:0)

我的错误是没有将$raw_output parameter of the hash_hmac() function指定为true

  

<强> raw_output
  设置为TRUE时,输出原始二进制数据。 FALSE输出小写的十六进制。

因此,由于我没有将$raw_output指定为true,因此我得到hexits而不是原始二进制输出,如下所示:975c11d66e1515fbbf5ca44a5c1db3d946c78a84567bda2fd2eab484a69a57bb

相关问题
最新问题