所以我正在开发一个PHP脚本,用于查询使用HMAC身份验证标头的API。但是,我一直在试图正确编码HMAC签名。我有一个预先存在的nodejs脚本作为模板工作。
在nodejs脚本中,使用以下方法计算HMAC签名:
var crypto = require('crypto');
var hmac = [];
hmac.secret = 'ODc0YTM3YzUxODFlMWQ1YTdhMGQwY2NiZmE1N2Y1ODdjYzM5NTgyMDJhZjVkYTE4MmQxYzQ5ODk0M2QzNWQxYw==';
hmac.timestamp = 1457326475000;
hmac.path = '/account/';
hmac.message = hmac.path +'\n' + hmac.timestamp;
var sig = crypto.createHmac('sha512', new Buffer(hmac.secret, 'base64'));
hmac.signature = sig.update(hmac.message).digest('base64');
console.log(hmac);
此正确计算HMAC签名为: bWjIFFtFmWnj0 + xHLW2uWVa6M6DpbIV81uyUWwRFCJUg + 0Xyt40QWZWQjGvfPUB / JbjGZHUoso0Qv5JHMYEv3A ==。
同时,在PHP中,我正在使用:
<?php
$hmac['secret'] = 'ODc0YTM3YzUxODFlMWQ1YTdhMGQwY2NiZmE1N2Y1ODdjYzM5NTgyMDJhZjVkYTE4MmQxYzQ5ODk0M2QzNWQxYw==';
$hmac['nonce'] = '1457326475000';
$hmac['path'] = '/account/';
$hmac['message'] = $hmac['path']."\n".$hmac['nonce'] ;
$hmac['signature'] = base64_encode(hash_hmac('sha512',$hmac['message'],
$hmac['secret'], true));
print_r($hmac);
上面的代码,将HMAC签名计算为: vqP49m / bk9nA4S3nMqW2r + KC2 + yBfwhY / jWGUfz6dlKJUMkC2ktiPnuCcymdSWl4XezZT5VKCATYfus86Hz /千兆克==
根据“ 100万只猴子攻击一百万个键盘”的原则,有一天可能会编码一个有效的HMAC签名,我甚至测试了一个迭代所有排列的循环上面的PHP代码(有/没有base64编码消息,秘密;有/没有HMAC的二进制编码等)...无济于事。
对此有任何建议,一个筋疲力尽的猿猴?
答案 0 :(得分:2)
问题是,在将$hmac['secret']传递给hash_hmac()之前,您不会先解码$hmac['secret'] = base64_decode($hmac['secret']);
$hmac['signature'] = base64_encode(
hash_hmac('sha512', $hmac['message'], $hmac['secret'], true)
);
。
尝试:
1 001
2 002
3 003
etc.