1

我正在尝试构建一个测试,让我可以锻炼 FilePicker.io 的安全性。代码运行为:

ruby test.rb [file handle]

结果是我可以附加到 FilePicker URL 的查询字符串。我很确定我的政策得到了正确阅读,但我的签名没有。有人可以告诉我我做错了什么吗?这是代码:

require 'rubygems'
require 'base64'
require 'cgi'
require 'openssl'
require 'json'

handle = ARGV[0]
expiry = Time::now.to_i + 3600
policy = {:handle=>handle, :expiry=>expiry, :call=>["pick","read", "stat"]}.to_json
puts policy
puts "\n"
secret = 'SECRET'
encoded_policy = CGI.escape(Base64.encode64(policy))
signature = OpenSSL::HMAC.hexdigest('sha256', secret, encoded_policy)
puts "?signature=#{signature}&policy=#{encoded_policy}"
4

2 回答 2

4

诀窍是使用 Base64.urlsafe_encode64 而不是 CGI.escape:

require 'rubygems'
require 'base64'
require 'cgi'
require 'openssl'
require 'json'

handle = ARGV[0]
expiry = Time::now.to_i + 3600
policy = {:handle=>handle, :expiry=>expiry}.to_json
puts policy
puts "\n"
secret = 'SECRET'
encoded_policy = Base64.urlsafe_encode64(policy)
signature = OpenSSL::HMAC.hexdigest('sha256', secret, encoded_policy)
puts "?signature=#{signature}&policy=#{encoded_policy}"

当使用 Filepicker.io 文档中的到期、句柄和机密的示例值进行测试时,它返回与 python 示例相同的值。

于 2012-11-29T01:47:55.297 回答
0

我在我的 Ruby 1.8 环境中通过删除 CGI.escape 和 gsubbing 换行解决了这个问题:

 Base64.encode64(policy).gsub("\n","")

十一臂的答案对于 Ruby 1.9 用户来说是最好的,但是你必须为 Ruby 1.8 做一些像上面这样有点笨拙的事情。尽管如此,我还是会接受他的回答,因为这些天我们中的大多数人已经或即将使用 1.9。

于 2012-11-29T23:33:09.703 回答