PHP实现码云Gitee的WebHook密钥验证算法

2020-08-17 10:03:31 浏览数 (1)

码云的 WebHook 支持两种验证方式,一种是明文密码验证,另外一种是密钥验证

用户通过配置不公开的 WebHook 密钥,在请求时对请求内容签名,服务端在收到请求后以同样的密钥进行签名验证,以确认收到的请求完整且可信任。

整个过程 WebHook 密钥只存在于 Gitee 和服务端,不在网络传输中暴露。

那么 PHP 应该如何验证呢?文档只提供了 Java 和 Python2 的示例代码,我大 PHP 不配验证?

文档中说明了对应的参数:需要一个 timestampsecret,这两个参数从哪来呢?

从请求头中获取,我这里以 Swoole 的 HTTP Server 为例

代码语言:txt复制
$signature = $header['x-gitee-token'] ?? '';
$timestamp = $header['x-gitee-timestamp'] ?? '';

获取到所需要的参数之后来看一下具体步骤:

Step1:把 timestamp "n" 密钥当做签名字符串,使用 HmacSHA256 算法计算签名。 Setp2:对上述得到的结果进行 Base64 encode。 Setp3:对上述得到的结果进行 urlEncode,得到最终的签名(需要使用 UTF-8 字符集)。

官方文档一不注意就入了坑,文档需要 urlEncode 是因为要拼接到 URL 中,实际验证时是不需要的

不能想着直接反推回去验证,而且 HmacSHA256 不支持反推,我们只能自己生成验证对比进行验证

所以我们可以得到这样的代码:

代码语言:txt复制
$signature = $header['x-gitee-token'] ?? '';
$timestamp = $header['x-gitee-timestamp'] ?? '';

$secret = '123456'; // 所配置的密钥信息
$secret_str = "$timestampn$secret";
$compute_token = base64_encode(hash_hmac('sha256', $secret_str, $secret, true));
if ($signature !== $compute_token) {
    echo '验证失败';
}

最后,可以直接使用我的 git-deploy 项目

任何个人或团体,未经允许禁止转载本文:《PHP 实现码云 Gitee 的 WebHook 密钥验证算法》,谢谢合作!

0 人点赞