1

我正在努力验证 Paypal webhook 数据,但我遇到了一个问题,它总是为验证状态返回 FAILURE。我想知道这是否是因为这一切都发生在沙盒环境中,而 Paypal 不允许验证沙盒 webhook 事件?我按照这个 API 文档来实现调用:https ://developer.paypal.com/docs/api/webhooks/v1/#verify-webhook-signature

相关代码(来自单独的 elixir 模块):

def call(conn, _opts) do
  conn
    |> extract_webhook_signature(conn.params)
    |> webhook_signature_valid?()
    |> # handle the result
end

defp extract_webhook_signature(conn, params) do
  %{
    auth_algo: get_req_header(conn, "paypal-auth-algo") |> Enum.at(0, ""),
    cert_url: get_req_header(conn, "paypal-cert-url") |> Enum.at(0, ""),
    transmission_id: get_req_header(conn, "paypal-transmission-id") |> Enum.at(0, ""),
    transmission_sig: get_req_header(conn, "paypal-transmission-sig") |> Enum.at(0, ""),
    transmission_time: get_req_header(conn, "paypal-transmission-time") |> Enum.at(0, ""),
    webhook_id: get_webhook_id(),
    webhook_event: params
  }
end

def webhook_signature_valid?(signature) do
  body = Jason.encode!(signature)
  case Request.post("/v1/notifications/verify-webhook-signature", body) do
    {:ok, %{verification_status: "SUCCESS"}} -> true
    _ -> false
  end
end

我从 Paypal 返回 200,这意味着 Paypal 收到了我的请求,并且能够正确解析并通过验证运行它,但它始终返回验证状态的 FAILURE,这意味着请求的真实性无法得到验证。我查看了我发布到他们端点的数据,一切看起来都是正确的,但由于某种原因它没有得到验证。我将我发布到 API(来自extract_webhook_signature)的 JSON 放入 Pastebin 中,因为它非常大:https ://pastebin.com/SYBT7muv

如果有人有这方面的经验并且知道它为什么会失败,我很想听听。

4

2 回答 2

7

我解决了我自己的问题。Paypal 没有规范化他们的 webhook 验证请求。当您从 Paypal 收到 POST 时,请不要解析请求正文,然后再在验证调用中将其发回给他们。如果您webhook_event有任何不同(即使字段的顺序不同),该事件将被视为无效,您将收到 FAILURE。您必须阅读原始 POST 正文并将准确的数据发布回您的webhook_event.

示例:如果您收到{"a":1,"b":2}并回{..., "webhook_event":{"b":2,"a":1}, ...}发(注意 json 字段的顺序与我们收到的内容和我们回发的内容不同),您将收到 FAILURE。你的帖子必须是{..., "webhook_event":{"a":1,"b":2}, ...}

于 2020-04-25T03:21:47.260 回答
0

对于那些为此苦苦挣扎的人,我想为您提供我的解决方案,其中包括已接受的答案。

在开始之前,请确保将其存储raw_body在您的 conn 中,如验证 webhook - 客户端中所述


  @verification_url "https://api-m.sandbox.paypal.com/v1/notifications/verify-webhook-signature"
  @auth_token_url "https://api-m.sandbox.paypal.com/v1/oauth2/token"

 defp get_auth_token do
    headers = [
      Accept: "application/json",
      "Accept-Language": "en_US"
    ]

    client_id = Application.get_env(:my_app, :paypal)[:client_id]
    client_secret = Application.get_env(:my_app, :paypal)[:client_secret]

    options = [
      hackney: [basic_auth: {client_id, client_secret}]
    ]

    body = "grant_type=client_credentials"

    case HTTPoison.post(@auth_token_url, body, headers, options) do
      {:ok, %HTTPoison.Response{status_code: 200, body: body}} ->
        %{"access_token" => access_token} = Jason.decode!(body)
        {:ok, access_token}

      error ->
        Logger.error(inspect(error))
        {:error, :no_access_token}
    end
  end

  defp verify_event(conn, auth_token, raw_body) do
    headers = [
      "Content-Type": "application/json",
      Authorization: "Bearer #{auth_token}"
    ]

    body =
      %{
        transmission_id: get_header(conn, "paypal-transmission-id"),
        transmission_time: get_header(conn, "paypal-transmission-time"),
        cert_url: get_header(conn, "paypal-cert-url"),
        auth_algo: get_header(conn, "paypal-auth-algo"),
        transmission_sig: get_header(conn, "paypal-transmission-sig"),
        webhook_id: Application.get_env(:papervault, :paypal)[:webhook_id],
        webhook_event: "raw_body"
      }
      |> Jason.encode!()
      |> String.replace("\"raw_body\"", raw_body)

    with {:ok, %{status_code: 200, body: encoded_body}} <-
           HTTPoison.post(@verification_url, body, headers),
         {:ok, %{"verification_status" => "SUCCESS"}} <- Jason.decode(encoded_body) do
      :ok
    else
      error ->
        Logger.error(inspect(error))
        {:error, :not_verified}
    end
  end

  defp get_header(conn, key) do
    conn |> get_req_header(key) |> List.first()
  end
于 2021-03-13T09:15:07.280 回答