解释有点长,请耐心等待。
我正在构建一个Facebook messenger bot,它在后端和MongoDB数据库中使用我的sails.js / node.js服务器。
在我的sails应用程序中,我已经将策略应用于控制器的方法,该方法处理在从用户接收文本之后要执行的操作。在此策略中,我遵循文档(https://developers.facebook.com/docs/messenger-platform/webhook-reference - “安全性”部分)并将请求标头中的x-hub-signature与请求有效负载(正文)的sha1摘要进行比较。
所以,现在每当我向机器人发送消息时,它在策略中都表示请求中的签名和我计算的签名是不同的,因此不会更进一步。我仔细检查了应该在计算摘要时应该使用的app秘密,它似乎是正确的。我发现的另一个不同之处在于,Facebook请求还在其标题中发送“内容长度”字段,这与他们在同一请求中发送的正文的字符长度不同。这就是我认为不同签名的原因,但我无法解决它并找到问题的根源,为什么会发生这种情况。
另外需要注意的是,抛出此不匹配错误的相同代码在某些时间(实际上,大多数情况下)运行完美。
有人可以帮助我吗?我永远感激不尽:)
以下是政策中的代码
var crypto = require('crypto');
if(req.headers['x-hub-signature']){
//console.log('req headers -----', JSON.stringify(req.headers));
//console.log('req body -----', JSON.stringify(req.body));
var hmac, calculatedSignature, payload = req.body;
hmac = crypto.createHmac('sha1', app_secret);
hmac.update(JSON.stringify(payload));
calculatedSignature = 'sha1='+hmac.digest('hex');
//console.log("signature calculatedSignature",calculatedSignature);
if(calculatedSignature === req.headers['x-hub-signature']){
return next();
}else{
res.forbidden('You shall not pass!');
}
}
这是一个示例请求标头 -
{"host":"e93d4245id.ngrok.io","accept":"*/*","accept-encoding":"deflate, gzip","content-type":"application/json","x-hub-signature":"sha1=d0cd8177add9b1ff367d411942603b0d08183964","content-length":"274","x-forwarded-proto":"https","x-forwarded-for":"127.0.0.1"}
这是来自同一请求的正文 -
{"object":"page","entry":[{"id":"1778585282425767","time":1479476014038,"messaging":[{"sender":{"id":"userId"},"recipient":{"id":"recipientId"},"timestamp":1479468097895,"message":{"mid":"mid.1479468097895:efdc7d2c68","seq":2355,"text":"Hahahaha"}}]}]}
答案 0 :(得分:6)
我认为问题是某些特定字符(例如@和%)需要转换为其文档中指定的unicode转义序列,并替换为原始字符串化JSON。我转换了它们然后计算了新字符串的hmac签名并且匹配了它。
此外它之所以正在工作以及为什么它不在某些情况下是因为我认为因为该字符串中存在特殊字符而正在进行字符串化。如果它没有字符@或%,那么它没有任何问题。
这就是我解决它的方法 -
在if内
var hmac,calculatedSignature,payload = JSON.stringify(req.body);
var resStr = payload.replace(/\@|\%/g,function(a, i){
hex = payload.charCodeAt(i).toString(16);
var s = "\\u" + ("000"+hex).slice(-4);
return s;
});
hmac = crypto.createHmac('sha1', app_secret);
hmac.update(resStr);
calculatedSignature = 'sha1='+hmac.digest('hex');
if(calculatedSignature === req.headers['x-hub-signature']){
return next();
}else{
res.forbidden('You shall not pass!');
}
答案 1 :(得分:0)
您的bodyParserJSON应该返回 rawBody (在许多情况下,字符串化会失败):
bodyParser.json({
verify(req, res, buf) {
req.rawBody = buf;
},
})
这是我写过的中间件。它使用crypto模块生成sha1
fbWebhookAuth: (req, res, next) => {
const hmac = crypto.createHmac('sha1', process.env.FB_APP_SECRET);
hmac.update(req.rawBody, 'utf-8');
if (req.headers['x-hub-signature'] === `sha1=${hmac.digest('hex')}`) next();
else res.status(400).send('Invalid signature');
}
最后在您的路线中,您可以将其用作:
app.post('/webhook/facebook', middlewares.fbWebhookAuth, facebook.webhook);