当 Facebook 发送实时更新时,它们会在 HTTP 标头中包含 X-Hub-Signature。根据他们的文档,他们使用 SHA1 和应用程序密钥作为密钥。
基于 C# 的类似问题,我尝试验证这样的签名(“body”是 facebook 在请求正文中发送的消息):
String passedSignature = req.getHeader("X-Hub-Signature").substring(5);
Mac hmac = Mac.getInstance("HmacSHA1");
hmac.init(new SecretKeySpec(FACEBOOK_SECRET.getBytes(Charset.forName("UTF-8")), "HmacSHA1"));
String calculatedSignature = Hex.encodeHexString(hmac.doFinal(body.getBytes(Charset.forName("UTF-8"))));
logger.debug("Calculated sigSHA1: " + calculatedSignature + " passedSignature: " + passedSignature);
但是传递的签名总是与计算的签名不同。
任何人都可以帮助解决问题?