5

我正在开发一个 Node.js 应用程序,并且正在努力验证 Mandrill Webhook 请求。

如此处所述http://help.mandrill.com/entries/23704122-Authenticating-webhook-requests在 PHP 中应该是这样的:

/**
 * Generates a base64-encoded signature for a Mandrill webhook request.
 * @param string $webhook_key the webhook's authentication key
 * @param string $url the webhook url
 * @param array $params the request's POST parameters
 */
function generateSignature($webhook_key, $url, $params) {
    $signed_data = $url;
    ksort($params);
    foreach ($params as $key => $value) {
        $signed_data .= $key;
        $signed_data .= $value;
    }

    return base64_encode(hash_hmac('sha1', $signed_data, $webhook_key, true));
}

所以我想出了这个:

var url = "http://....";
var post = "<POST Data>";
require('crypto').createHmac("SHA1", "<Webhook Signature Key>").update(url+post).digest("base64");

不幸的是,这不起作用。我得到一个不同的签名。

POST 数据以 urlencoded 形式出现,例如:

mandrill_events=%5B%7B%22event%22%3A%22inbound ...

网址解码:

mandrill_events=[{"event":"inbound ...

Mandrill 文档说,不应包含分隔符,所以这是我正在使用的字符串(没有=):

mandrill_events[{"event":"inbound ...

有什么想法吗?

PS:我仔细检查了 URL 和 Webhook Key :-)。

4

2 回答 2

3

使用该特定 Webhook的 URL(config.url在示例中)和在https://mandrillapp.com/settings/webhooksconfig.key中显示的密钥 ( ) 。

除了上述响应之外,您还必须确保使用单个反斜杠转义正斜杠。

// mandrillEventsParamVal - how you get that depends on your request processor chain
var paramValEscaped = mandrillEventsParamVal.replace(/\//g, '\\\/');
var input = config.url + 'mandrill_events' + paramValEscaped;
var check = crypto.createHmac('sha1', config.key).update(input, 'utf8', 'binary').digest('base64');

调用的字符串check是您对照标题“X-Mandrill-Signature”检查的内容。

于 2014-12-04T15:06:17.507 回答
1

问题来自您的输入数据格式。您必须连接键/值对,例如:

变量数据 = 网址;for(var key in POST_DATA) data += key+POST_DATA[key];

现在,您可以检查 base64(sha1(data, mkey)) 是否等于签名。

于 2013-10-22T13:58:02.673 回答