4

我目前正在 Facebook 上开发一款即时游戏,需要验证玩家信息是否来自 facebook。Facebook 通过散列签名提供验证,如下所述:

https://developers.facebook.com/docs/games/instant-games/sdk/fbinstant6.2#signedplayerinfo

我按照概述的步骤进行操作,但无法获得匹配的签名:

这是签名:

$_POST['psig'] = 'je3yV8uKmysDrjXv1xp_RY2rTMJLEREM7xj8SGt5HEk.eyJhbGdvcml0aG0iOiJITUFDLVNIQTI1NiIsImlzc3VlZF9hdCI6MTU1MjI1NTc2OCwicGxheWVyX2lkIjoiMjA1OTE4OTA2MDgyMzk4MyIsInJlcXVlc3RfcGF5bG9hZCI6InBkYXRhIn0';

1) 将签名分成由“。”分隔的两部分。特点。

$first_part = explode('.', $_POST['psig'])[0];
echo $first_part;

// Output:
je3yV8uKmysDrjXv1xp_RY2rTMJLEREM7xj8SGt5HEk

$second_part = explode('.', $_POST['psig'])[1];
echo $second_part;

// Output
eyJhbGdvcml0aG0iOiJITUFDLVNIQTI1NiIsImlzc3VlZF9hdCI6MTU1MjI1NTc2OCwicGxheWVyX2lkIjoiMjA1OTE4OTA2MDgyMzk4MyIsInJlcXVlc3RfcGF5bG9hZCI6InBkYXRhIn0

2)使用base64url编码解码第一部分(编码签名)。

echo base64_decode($first_part);

// Output:
���Wˊ�+�5��Qcj�0��DC;�?�G

3) 使用 base64url 编码解码第二部分(响应负载),它应该是具有以下字段的 JSON 对象的字符串表示:**算法 - 始终等于 HMAC-SHA256 **issued_at - 时间的 unix 时间戳发出了这一答复。** player_id - 玩家的唯一标识符。** request_payload - 您在调用 FBInstant.player.getSignedPlayerInfoAsync 时指定的 requestPayload 字符串。

$payload = base64_decode($second_part);
echo $payload;

// Output:
{"algorithm":"HMAC-SHA256","issued_at":1552255768,"player_id":"2059189060823983","request_payload":"pdata"}

4) 使用 HMAC SHA-256 和您的应用程序机密对整个响应负载字符串进行散列,并确认它等于编码签名。

$check = hash_hmac('sha256', $payload, 'xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx', true);
echo $check;

// Output:
n4Q�Kމ`<�?�����tT�~x����L�

我已经花了几个小时来解决这个问题,但无法弄清楚我做错了什么!

4

1 回答 1

9

终于明白了!

我有两个错误:

1) 在对编码签名进行解码以进行检查时,应使用 base64decode URL 而不是常规的 base64decode。所以步骤 2 中的代码应该是这样的:

$first_part = base64_decode(str_replace(array('-', '_'), array('+', '/'), $first_part));

2)生成的哈希应该有原始编码response payload字符串而不是解码字符串。文档对此不是很清楚。所以它应该是这样的:

$check = hash_hmac('sha256', $second_part, $app_secret, true);

通过执行上述操作,解码后的签名将等于生成的哈希中的二进制数据:)

最后检查签名是否有效: if($first_part == $check){ //valid }

于 2019-03-11T13:16:47.137 回答