2

Google 允许您为 reCAPTCHA 创建一个“安全令牌”,这意味着您可以在多个域中使用相同的密钥/秘密。无需为您照顾的每个域创建密钥/秘密。

这是他们的文档,您可以看到,除了Java 中的示例之外,它对令牌的加密方式一无所知。我的问题是这将如何用 ColdFusion 编写。我已经破解了 4 个小时,但就是无法让它工作。我审查过的其他示例:

任何 ColdFusion 加密专家都知道如何做到这一点?

更新

谢谢 Leigh,认为我们已经走得更远了,但仍然看到“无效的 stoken”。这是我所拥有的:

json_token = '{"session_id":"#createUUID()#","ts_ms":#dateDiff("s", dateConvert("utc2Local", "January 1 1970 00:00"), now())#}';
secret_key_hash = hash(secret_key,"SHA", "UTF-8");
secret_key_binary = binaryDecode(secret_key_hash, "hex");
secret_key_aes = arraySlice(secret_key_binary,1,16);
secret_key_base64 = binaryEncode( javacast("byte[]", secret_key_aes), "base64");
secure_token = Encrypt(json_token,secret_key_base64,"AES/ECB/PKCS5Padding",'base64');

我们在 Java 1.7 上使用 ColdFusion 9,arraySlice 方法不可用或底层 java .subList()。所以我们使用来自 cflib.org 的arraySlice UDF

我还看到了关于 URL 编码的 PHP 实现的评论,所以我最后也尝试了这个,没有效果:

    secure_token = Replace(secure_token,"=","","ALL");
    secure_token = Replace(secure_token,"+","-","ALL");
    secure_token = Replace(secure_token,"/","_","ALL");
4

1 回答 1

3

注意:发布这个是因为我在问题结束之前已经写过了。尽管将来,请在问题中包含您尝试过的代码。这将有助于澄清问题(并可能避免将其关闭为“过于宽泛”

不了解令牌是如何加密的

如果您只停留在加密部分,它看起来像java 示例中的标准 AES 加密(ECB 模式和 PKCS5Padding) 。唯一棘手的部分是加密密钥的处理。

byte[] key = siteSecret.getBytes("UTF-8");
key = Arrays.copyOf(MessageDigest.getInstance("SHA").digest(key), 16);

在 java 代码中,该getKey()方法解码密钥字符串并使用SHA1对其进行哈希处理,生成 20 个字节(或 160 位)。由于这不是有效的 AES 密钥大小,因此代码会抓取前十六 (16) 个字节以用作 128 位 AES 加密密钥。其余的 java 代码只是基本的 AES 加密,您可以使用该encrypt()函数在 CF 中轻松重现。

要在 CF 中复制加密:

  1. 散列 secretKey 字符串

    hashAsHex = hash(secretKey, "SHA", "UTF-8");

  2. 然后将哈希解码为二进制,这样您就可以提取前十六 (16) 个字节。这为您提供了 128 位 AES 加密密钥(二进制形式):

    hashAsBinary = binaryDecode(hashAsHex, "hex"); keyBytes = arraySlice(hashAsBinary, 1, 16);

  3. 现在只需将密钥字节转换为 base64 字符串,并将其传递给 encrypt() 函数:

    keyAsBase64 = binaryEncode( javacast("byte[]", keyBytes), "base64"); token = encrypt(jsonToken, keyAsBase64 , "AES/ECB/PKCS5Padding", "base64");

这就对了。我会让你自己弄清楚其余的。

于 2015-11-26T05:36:19.790 回答