Coldfusion CFHTTP与SHA512-hmac签署了REST请求主体

时间:2012-10-16 18:42:30

标签: api encryption coldfusion signed cfhttp

我正在尝试在bitfloor.com上为交易API发出签名请求(这是一个REST API)

Bitfloor给了我:

1)API密钥(即6bd2b780-00be-11e2-bde3-2837371c3c3a)

2)密钥(即oaFz62YpmbWiXwseMUSod53D8pOjdyVcweNYdiab / TSQqxk6IuemDvimNaQoA ==)

以下是Bitfloor提出请求的确切说明:

请求必须是端口443(https)上的HTTPS POST请求。每个请求必须包含所需的标头(如下所列)。标头识别,验证和验证您的请求以防止篡改。 头

bitfloor-key 这是由bitfloor提供的唯一标识您的帐户。 (即6bd2b780-00be-11e2-bde3-2837371c3c3a)

bitfloor-sign 符号字段是请求正文的sha512-hmac,使用与您的api密钥对应的密钥。

要签署您的请求: base64将密钥解码为原始字节(64字节)。将这些字节用于http请求正文的sha512-hmac签名。 Base64对签名结果进行编码并发送到此标头字段。

bitfloor-passphrase 您在创建此API密钥时指定的密码。如果忘记,我们无法恢复您的密码。您需要创建一个新的API密钥。

bitfloor-version 您感兴趣的资源的api版本。目前唯一有效的值是1


经过整整八个小时的反复试验并反复搜索互联网以获取任何洞察力或信息,以下代码尽可能接近我认为可能在某个方向构建的方向请求正确,唉,无论我接受什么,我的API都会返回“无效签名”。

这是我到目前为止所拥有的......

首先,我在网上发现了这个功能,有人写信给SHA512签名:

<cffunction name="HMAC_SHA512" returntype="binary" access="public" output="false">
    <cfargument name="signKey" type="string" required="true">
    <cfargument name="signMessage" type="string" required="true">

    <cfset var jMsg = JavaCast("string",arguments.signMessage).getBytes("iso-8859-1")>
    <cfset var jKey = JavaCast("string",arguments.signKey).getBytes("iso-8859-1")>
    <cfset var key  = createObject("java","javax.crypto.spec.SecretKeySpec")>
    <cfset var mac  = createObject("java","javax.crypto.Mac")>
    <cfset key  = key.init(jKey,"HmacSHA512")>
    <cfset mac  = mac.getInstance(key.getAlgorithm())>
    <cfset mac.init(key)>
    <cfset mac.update(jMsg)>
    <cfreturn mac.doFinal()>
</cffunction>

我不知道它做了什么,但似乎没有错误。

以下是我对此功能的实现以及我尝试发出请求: 注意:“nonce”值是必须随请求一起发送的必需参数。

<cffunction name="myorders">
    <cfset nonce        = dateDiff("s",createDateTime(2012,01,01,0,0,0),now())>
    <cfset requestbody  = "?nonce=#nonce#">
    <cfset key      = "oaFz62YpmbWiXwseMUSod53D8pOjdyVcweNYdiab/TSQqxk6IuemDvimNaQoA==">
    <cfset sign     = HMAC_SHA512(key,requestbody)>
    <cfset signed       = binaryEncode(sign,"Base64")>

    <!--- HTTP REQUEST --->
    <cfhttp url = "https://api.bitfloor.com/orders#requestbody#"
        method  = "post"
        result  = "bitfloor">

    <!--- HEADERS --->
    <cfhttpparam
        type    = "body"
        value   = requestbody>
    <cfhttpparam
        type    = "header"
        name    = "bitfloor-key"
        value   = "6bd2b780-00be-11e2-bde3-2837371c3c3a">
    <cfhttpparam
        type    = "header"
        name    = "bitfloor-sign"
        value   = signed>
    <cfhttpparam
        type    = "header"
        name    = "bitfloor-passphrase"
        value   = "mysecretpassphrase">
    <cfhttpparam
        type    = "header"
        name    = "bitfloor-version"
        value   = "1">
    </cfhttp>
</cffunction>

我认为我的大多数困惑来自于不确切知道“请求体”是什么。我觉得我也许没有签下正确的东西。

我希望有一位熟悉签名请求的Coldfusion程序员。我的智慧结束了。

请帮忙!合十

1 个答案:

答案 0 :(得分:2)

我没有使用那个api,但是我运行了一些测试,似乎可以使用以下调整:

  • 由于secretKey值是base64编码的,因此您的签名函数需要使用binaryDecode来正确提取字节。使用String.getBytes(...)会产生完全不同(错误)的结果。

  • 预期的请求正文值只是:nonce=#nonceValue#(没有前导"?"

  • 似乎需要Content-Type=application/x-www-form-urlencoded标头,否则无法解析内容,响应为:{“error”:“no nonce specified”}

代码

 <cfset apiKey = "6bd2b780-00be-11e2-bde3-2837371c3c3a">
 <cfset secretKey = "oaFz62YpmbWiXwseMUSod53D8pOjdyVcweNYdiab/TSQqxk6IuemDvimNaQoA==">
 <cfset passphrase = "your secret phrase">

 <cfset requestBody  = "nonce="& now().getTime()>
 <cfset signBytes    = HMAC_SHA512(secretKey, requestbody)>
 <cfset signBase64   = binaryEncode(signBytes, "base64")>

 <cfhttp url="https://api.bitfloor.com/orders" method="post" port="443" result="bitfloor">
    <cfhttpparam type="header" name="Content-Type" value="application/x-www-form-urlencoded">
    <cfhttpparam type="header" name="bitfloor-key" value="#apiKey#">
    <cfhttpparam type="header" name="bitfloor-sign" value="#signBase64#">
    <cfhttpparam type="header" name="bitfloor-passphrase" value="#passphrase#">
    <cfhttpparam type="header" name="bitfloor-version" value="1">
    <cfhttpparam type="body" value="#requestBody#">
 </cfhttp>

 <cfdump var="#bitfloor#" label="Response">

<cffunction name="HMAC_SHA512" returntype="binary" access="public" output="false">
    <cfargument name="base64Key" type="string" required="true">
    <cfargument name="signMessage" type="string" required="true">
    <cfargument name="encoding" type="string" default="UTF-8">

     <cfset var messageBytes = JavaCast("string",arguments.signMessage).getBytes(arguments.encoding)>
     <cfset var keyBytes = binaryDecode(arguments.base64Key, "base64")>
     <cfset var key  = createObject("java","javax.crypto.spec.SecretKeySpec")>
     <cfset var mac  = createObject("java","javax.crypto.Mac")>
     <cfset key  = key.init(keyBytes,"HmacSHA512")>
     <cfset mac  = mac.getInstance(key.getAlgorithm())>
     <cfset mac.init(key)>
     <cfset mac.update(messageBytes)>

     <cfreturn mac.doFinal()>
</cffunction>