我正在使用Go编写一些API。我希望能够使用秘密令牌处理Github Webhooks。我在Webhook Github上设置了“ azerty”这个秘密。
现在,我尝试验证传入的Webhook是否具有正确的秘密令牌。我已经阅读了Github文档,其中说该算法将HMAC与SHA1结合使用。但是我无法验证来自传入的Github Webhook的秘密...
func IsValidSignature(r *http.Request, key string) bool {
// KEY => azerty
gotHash := strings.SplitN(r.Header.Get("X-Hub-Signature"), "=", 2)
if gotHash[0] != "sha1" {
return false
}
defer r.Body.Close()
b, err := ioutil.ReadAll(r.Body)
if err != nil {
log.Printf("Cannot read the request body: %s\n", err)
return false
}
hash := hmac.New(sha1.New, []byte(key))
if _, err := hash.Write(b); err != nil {
log.Printf("Cannot compute the HMAC for request: %s\n", err)
return false
}
expectedHash := hex.EncodeToString(hash.Sum(nil))
log.Println("EXPECTED HASH:", expectedHash)
log.Println("GOT HASH:", gotHash[1])
return gotHash[1] == expectedHash
}
EXPECTED HASH: 10972179a3b0efc337f79ec41847062bc598bb04
GOT HASH: 36de72e0d386e36e2c7b034c85cd3b3889594992
要进行测试,我在Postman中使用正确的标题复制了Github Webhook的有效负载。我不知道为什么会得到两个不同的哈希值……我检查了我的密钥是否为非空且具有正确的值,并且我的主体也为非空。
我想念什么吗?
答案 0 :(得分:2)
我用正确的标题在邮递员中复制Github Webhook的有效负载。
我已经检查了密钥是否为非空且具有正确的值,并且我的身体也为非空。
除了少数小问题外,加密货币是正确的。显然,您的身体与从Github获得的身体不匹配。可能是格式,尾随换行符等。它必须与原始正文完全按字节匹配。
如果此代码适用于Github,而不适用于Postman中的副本,则只需用该“错误的”哈希替换灯具中的X-Hub-Signature。
一些额外功能:
hmac.Equal进行安全比较hash.Write从不返回错误