【发布时间】:2016-03-16 13:21:45
【问题描述】:
我无法成功验证来自 Trello 的 webhook 请求。这是我所知道的。
Trello 的 webhook 文档 here 指出:
每个 webhook 触发器都包含 HTTP 标头 X-Trello-Webhook。标头是 HMAC-SHA1 哈希的 base64 摘要。散列后的内容是完整的请求正文和 callbackURL 的串联,与创建 webhook 时提供的内容完全相同。用于签署此文本的密钥是您的应用程序的密钥。
这是可以理解的。他们接着说
由于 node 中加密实用程序的某些默认设置,我们签名的有效负载被视为二进制字符串,而不是 utf-8。例如,如果您使用短划线字符(十进制的 U+2013 或 8211),并在 Node 中从中创建一个二进制缓冲区,它将显示为 [19] 的缓冲区,这是 8 个最不重要的8211 位。这是摘要中用于计算 SHA-1 的值。
这对我来说不太清楚。我的理解是,payload(body + callbackURL)的每个字符都被放入了一个8位整数,忽略了溢出。 (因为 8211 == 0b10000000010011 和 0b00010011 == 19)这就是我认为我的问题所在。
我用来解决 Trello 的节点负载问题的函数是:
func bitShift(s string) []byte {
var byteString []byte
// For each rune in the string
for _, c := range s {
// Create a byte slice
b := []byte(string(c))
// Take the sign off the least significant byte
tmp := b[len(b)-1] << 1
tmp = tmp >> 1
// Append it to the byte string
byteString = append(byteString, tmp)
}
return byteString
}
我也很有可能在基本验证步骤中做错了什么。对我来说看起来不错,虽然我对此有些陌生。
// VerifyNotificationHeader ...
func VerifyNotificationHeader(signedHeader, trelloAPISecret string, requestURL *url.URL, body []byte) bool {
// Put callbackURL and body into byte slice
urlBytes := bitShift(requestURL.String())
bitBody := bitShift(string(body))
// Sign, hash, and encode the payload
secret := []byte(trelloAPISecret)
keyHMAC := hmac.New(sha1.New, secret)
keyHMAC.Write(append(bitBody, urlBytes...))
signedHMAC := keyHMAC.Sum(nil)
base64signedHMAC := base64.StdEncoding.EncodeToString(signedHMAC)
if comp := strings.EqualFold(base64signedHMAC, signedHeader); !comp {
return false
}
return true
}
如果您需要更多信息,请告诉我。谢谢!
更新:已解决,查看答案。
【问题讨论】:
-
您有我们可以匹配的示例请求和签名吗?
-
感谢您的关注!如果我不能在接下来的一两天内完成这项工作,我将添加测试这些功能所需的所有信息。目前,我不愿意仅仅为了在这里分享秘密而创建一个新的 Trello 帐户。
标签: security go hmac trello hmacsha1