为了账号安全,请及时绑定邮箱和手机立即绑定

Github 秘密令牌验证

Github 秘密令牌验证

Go
心有法竹 2023-08-14 16:59:16
我正在使用 Go 制作一些 API。我希望能够使用秘密令牌处理 Github webhook。我在我的 webhook Github 上设置了“azerty”的秘密。现在我尝试验证传入的 Webhook 是否具有正确的秘密令牌。我读过 Github 文档,其中说该算法使用 HMAC 和 SHA1。但我无法验证传入的 Github webhook 的秘密......func IsValidSignature(r *http.Request, key string) bool {    // KEY => azerty    gotHash := strings.SplitN(r.Header.Get("X-Hub-Signature"), "=", 2)    if gotHash[0] != "sha1" {        return false    }    defer r.Body.Close()    b, err := ioutil.ReadAll(r.Body)    if err != nil {        log.Printf("Cannot read the request body: %s\n", err)        return false    }    hash := hmac.New(sha1.New, []byte(key))    if _, err := hash.Write(b); err != nil {        log.Printf("Cannot compute the HMAC for request: %s\n", err)        return false    }    expectedHash := hex.EncodeToString(hash.Sum(nil))    log.Println("EXPECTED HASH:", expectedHash)    log.Println("GOT HASH:", gotHash[1])    return gotHash[1] == expectedHash}EXPECTED HASH: 10972179a3b0efc337f79ec41847062bc598bb04GOT HASH: 36de72e0d386e36e2c7b034c85cd3b3889594992为了进行测试,我使用正确的标头在 Postman 中复制了 Github Webhook 的有效负载。我不知道为什么我得到两个不同的哈希...我已经检查过我的密钥是否为空且值正确,并且我的正文也不是空的。我错过了什么吗?
查看完整描述

1 回答

?
不负相思意

TA贡献1777条经验 获得超10个赞

我使用正确的标头在 Postman 中复制 Github Webhook 的有效负载。

我已经检查过我的密钥是否为空且值正确,并且我的正文也不是空的。

除了一些小问题之外,加密是正确的。显然你的身体与你从 Github 获得的身体不匹配。可能是格式化、尾随换行符等。它必须逐字节与原始正文完全匹配。

如果此代码适用于 Github,但不适用于 Postman 中的副本,只需X-Hub-Signature在您的装置中替换为“错误”的哈希值。

一些额外的内容:

  • 用于hmac.Equal安全比较

  • hash.Write从不返回错误


查看完整回答
反对 回复 2023-08-14
  • 1 回答
  • 0 关注
  • 122 浏览
慕课专栏
更多

添加回答

举报

0/150
提交
取消
意见反馈 帮助中心 APP下载
官方微信