散列格子请求主体Webhook

时间:2020-05-31 14:05:32

标签: python json hash jwt plaid

我正在尝试验证从Plaid的API发送来的webhook。每个webhook请求都带有“ plaid-verification”标头发送,该标头是JSON Web令牌。

验证所需的步骤是:

  1. 从请求标头中提取JWT

signed_jwt = eyJhbGciOiJFUzI1NiIsImtpZCI6IjZjNTUxNmUxLTkyZGMtNDc5ZS1hOGZmLTVhNTE5OTJlMDAwMSIsInR5cCI6IkpXVCJ9.eyJpYXQiOjE1OTA4ODcwMDEsInJlcXVlc3RfYm9keV9zaGEyNTYiOiJiNjNhMDdiNTQ3YjAwZjk5MjU0N2Y2YmJjOGQ5YWNjNjFhOGNjZWUxMzhiYzgyZjQ0YTZiYWEwOTY4M2E1ZDBmIn0.OOKvIihgqCj7Qrb2bmz7T3t7uK-0JyjiEqL2s1kWeJBM4MMmjaHKK8GmU_z91QolBWMzvPgs718EElY-rE3cwQ

  1. 在不验证签名的情况下提取JWT标头值,如下所示:
    {
      "alg": "ES256",
      "kid": "6c5516e1-92dc-479e-a8ff-5a51992e0001",
      "typ": "JWT"
    }
  1. 提取kid和POST到/webhook_verification_key/get 
    POST /webhook_verification_key/get
    {
        "client_id": "MY_CLIENT_ID"
        "secret": "MY_SECRET_ID"
        "key_id": "6c5516e1-92dc-479e-a8ff-5a51992e0001"
    }

响应为:

{
  "key": {
    "alg": "ES256",
    "created_at": 1560466143,
    "crv": "P-256",
    "expired_at": null,
    "kid": "6c5516e1-92dc-479e-a8ff-5a51992e0001",
    "kty": "EC",
    "use": "sig",
    "x": "35lvC8uz2QrWpQJ3TUH8t9o9DURMp7ydU518RKDl20k",
    "y": "I8BuXB2bvxelzJAd7OKhd-ZwjCst05Fx47Mb_0ugros"
  },
  "request_id": "HvfCtrDLG1ihcp7"
}
  1. key解释为JSON Web密钥,验证JSON Web Key的签名有效,然后提取有效负载(使用jose python库)
claims = jwt.decode(signed_jwt, key, algorithms=['ES256'])

claims = {
             "iat": 1590887001, 
             "request_body_sha256": "b63a07b547b00f992547f6bbc8d9acc61a8ccee138bc82f44a6baa09683a5d0f"
         }
  1. 计算请求正文的SHA-256,并确保其与claims['request_body_sha256']相匹配:

正文在body.json文件中

{
    "error": null,
    "item_id": "yxQbxDjnD8hr69pKbQpbcKeVn3GL9QuyA7NV3",
    "new_transactions": 390,
    "webhook_code": "HISTORICAL_UPDATE",
    "webhook_type": "TRANSACTIONS"
}

计算body.json的SHA-256 

f = open('body.json')
body = json.load(f)
f.close()

m = hashlib.sha256()
m.update(json.dumps(body).encode())
body_hash = m.hexdigest()
print(body_hash)

body_hash = 'efbb5274864518f7eb3834125d9bcdb95fb03066d3d1bed3ebcc6163d8dc3579'

以上示例中的主体哈希不等于从Plaid接收​​到的主体哈希。这里有2个可能的问题:

  1. 格子未发送正确的主体哈希(不太可能)
  2. 我用来对正文进行哈希处理的哈希方法与Plaid的方法不同

我这里缺少什么吗?也许请求主体在我的一端编码不同?我在生产中使用了Node.js和Express,但是我制作了Python脚本来遵循Plaid概述的here方法,但是仍然没有得到正确的哈希值。老实说,我没主意了。

2 个答案:

答案 0 :(得分:4)

我与我们出色的支持团队分享了此信息,他们发现了问题。空格似乎是一个问题。如果您将body.json修改为在每个新行的每个“标签”中有2个空格,则会生成正确的哈希值。

答案 1 :(得分:3)

亚历克斯是对的。我最近遇到了同样的问题,确实确实发现Plaid基于制表符间距2对其主体进行散列处理。您可以使用JSON.stringify(body,null,2)使一切变得快乐:

const happyBody = JSON.stringify(body, null, 2);
const body_hash = crypto
  .createHash("sha256")
  .update(happyBody)
  .digest("hex");

另请参阅:https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Global_Objects/JSON/stringify

奖金:可以使用JSON.stringify(object, replacer, space)来美化JSON。最后一个参数的整数将确定要使用多少个空格,但是如果您希望使用制表符,则可以用"/t"这样的空格代替:JSON.stringify(someObject, null, "\t");

相关问题
最新问题