我正在使用 Go 制作一个小 API。我希望能够使用秘密令牌处理 Github webhooks。我在我的 webhook Github 上设置了秘密,即“azerty”。现在我尝试验证传入的 webhook 是否具有正确的秘密令牌。我已经阅读了 Github 文档,其中说该算法将 HMAC 与 SHA1 结合使用。但我无法验证传入的 Github webhook 的秘密......func IsValidSignature(r *http.Request, key string) bool { // KEY => azerty gotHash := strings.SplitN(r.Header.Get("X-Hub-Signature"), "=", 2) if gotHash[0] != "sha1" { return false } defer r.Body.Close() b, err := ioutil.ReadAll(r.Body) if err != nil { log.Printf("Cannot read the request body: %s\n", err) return false } hash := hmac.New(sha1.New, []byte(key)) if _, err := hash.Write(b); err != nil { log.Printf("Cannot compute the HMAC for request: %s\n", err) return false } expectedHash := hex.EncodeToString(hash.Sum(nil)) log.Println("EXPECTED HASH:", expectedHash) log.Println("GOT HASH:", gotHash[1]) return gotHash[1] == expectedHash}EXPECTED HASH: 10972179a3b0efc337f79ec41847062bc598bb04GOT HASH: 36de72e0d386e36e2c7b034c85cd3b3889594992为了测试,我在 Postman 中复制了 Github webhook 的有效负载,并带有正确的标头。我不知道为什么我得到两个不同的哈希......我已经检查了我的密钥是非空的,并且我的身体也是非空的。我错过了什么吗?
1 回答
阿晨1998
TA贡献2037条经验 获得超6个赞
我使用正确的标头在 Postman 中复制 Github webhook 的有效负载。
我已经检查了我的密钥是非空的,并且我的身体也是非空的。
加密是正确的,除了一些小问题。显然,您的身体与您从 Github 获得的身体不匹配。可能是格式化、尾随换行符等。它必须与原始正文完全逐字节匹配。
如果此代码适用于 Github 并且不适用于 Postman 中的副本,只需将X-Hub-Signature您的夹具替换为那个“错误”的哈希。
一些额外的:
用于
hmac.Equal安全比较hash.Write从不返回错误
- 1 回答
- 0 关注
- 135 浏览
添加回答
举报
0/150
提交
取消