PHP Twilio RequestValidator在所有端点上返回false

时间:2019-07-11 20:32:58

标签: twilio twilio-api php-7.2 twilio-php

所以我真的不知道问题出在哪里,我尝试了很多事情,但是我无法使Twilio请求哈希匹配。让我解释一下。

我决定实现Twilio的RequestValidator的实例,以确保请求来自Twilio。但是,请按照此处的指南进行操作:https://www.twilio.com/docs/usage/security?code-sample=code-validate-signature-of-request-1&code-language=PHP&code-sdk-version=5.x

验证器仅返回false。这是我使用的代码:

$url = 'https://example.com/api/endpoint/to/endpoint/';
$request_params = $_REQUEST;
$twilio_validator = new RequestValidator('myauthtoken');
if (!$twilio_validator->validate($_SERVER['HTTP_X_TWILIO_SIGNATURE'], $url, $request_params)) {
    throw new CallException('Not from Twilio');
}

即使URL是一个示例,也正是我将实际URL格式化的方式……没有端口,基本身份验证或片段。仅协议,域和路径后缀“ /”。此外,该URL是我在设置此Twilio应用程序时设置的精确VoiceURL(这是将VoiceURL调用到我的Twilio应用程序之一)。

我的身份验证令牌是我整个帐户的身份验证令牌

请求参数是我确定要弄乱东西的地方。 Twilio正在对此端点发出GET请求,我也尝试使用$_GET超全局变量,但无济于事。由于以下问题,我在这里使用$_REQUESThttps://github.com/twilio/twilio-php/issues/510,因为我认为这将是最佳选择。我还尝试过使用file_get_contents('php://input')来解决同样的问题(哈希值最终不匹配)。

我什至在PHP SDK上创建了一个PR,并打开了PR,以更新该类,以查看是否可以学习更多...所以我知道该类及其方法非常好...我只是不没看到我的问题。

为了使RequestValidator无法验证Twilio的请求是否来自Twilio,我在这里做错了什么?

1 个答案:

答案 0 :(得分:0)

因此,经过大量研究并在Twilio的帮助下,我找到了问题的答案。

当Twilio向我的服务器发出GET请求时,您不应将GET参数作为第三个参数传递给RequestValidator类的validate方法。当Twilio向服务器发出GET请求时,验证实际上需要如下所示:

// this is the interesting part...you don't even set the pathname on the domain... 
// EVEN IF YOU THE PATHNAME IS SET IN YOUR VOICE URL. 
// This is because of the different way the RequestValidator handles GET and POST params
$domain = 'https://example.com'; // make sure to add no trailing '/'

// setting up the RequestValidator
$twilio_validator = new RequestValidator('myauthtoken');

// figuring out if the request is from twilio
$is_from_twilio = $twilio_validator->validate(

    // the signature header that Twilio sends
    $_SERVER['HTTP_X_TWILIO_SIGNATURE'], 

    // The domain name CONCATENATED to the Request URI. $_SERVER['REQUEST_URI'] holds everything that comes after the domain name in a URL (pathname, query parameters, and fragment)
    $domain.$_SERVER['REQUEST_URI']

    // if the request is a get request, as mine are, there is no need for the third parameter

);

// resolving the response
if (!$is_from_twilio) {
    echo 'Not from Twilio';
    exit;
}

请参阅代码中的注释,以在此处对正在使用的代码进行更深入的讨论。

相关问题
最新问题