hel*_*lbe 3 python hmac flask microsoft-teams
我正在尝试按照有关如何构建自定义机器人的说明使用 Flask 构建 Microsoft Teams 聊天机器人。但是,我无法验证我真正想要的安全性 HMAC 身份验证。
根据指南和文档,我发现我正在使用以下最小测试应用程序尝试计算传入请求的 HMAC。(机器人名称和描述DevBot以及下面用于测试的密钥/security_token)。
#!/usr/bin/python
# coding=utf-8
from flask import Flask, request, jsonify
import hmac, hashlib, base64, json
app = Flask(__name__)
@app.route('/', methods=['GET', 'POST'])
def webhook():
if request.method == 'POST':
# Authenticate
security_token = b"O5XHU8OSzwx8w9YiM0URkR/Ij4TZZiZUwz7Swc+1hZE="
request_data = request.get_data()
digest = hmac.new(security_token, msg=request_data, digestmod=hashlib.sha256).digest()
signature = base64.b64encode(digest).decode()
# TODO: Verify signature = Authorization header HMAC here
return jsonify({
'type' : 'message',
'text' : "Auth header: {0} <br>Calculated HMAC: {1}".format(request.headers.get('Authorization'), signature),
})
elif request.method == 'GET':
return "Hello World"
if __name__ == '__main__':
app.run(debug=True)
发送消息后,@DevBot test我在机器人的回复中收到以下哈希值,但它们与预期不匹配:
Auth header: HMAC LuDmz97y/Z2KWLIZ1WZASz3HlOEtDCwk5/lL/fK8GqM=
Calculated HMAC: eaxTdJSLuU3Z4l94bxFiWvsBhjNG9SPxwq/UHeR7KcA=
任何想法或指示?我一直在尝试各种编码的东西,但我有一种感觉,Flask 可能正在做一些修改请求正文的事情?
编辑1:小澄清
编辑 2:完整的 Flask 应用程序示例
编辑 3:示例机器人详细信息、输入和输出示例
经过大量反复试验并尝试从 MS 重现 C# 代码示例后,我设法自己解决了这个问题。这是解决方案:
#!/usr/bin/python
# coding=utf-8
from flask import Flask, request, jsonify
import hmac, hashlib, base64, json
app = Flask(__name__)
@app.route('/', methods=['GET', 'POST'])
def webhook():
if request.method == 'POST':
# Reply
data = request.get_json()
channel = data['channelId']
message_type = data['type']
sender = data['from']['name']
message_format = data['textFormat']
message = data['text']
# Authenticate
security_token = b"O5XHU8OSzwx8w9YiM0URkR/Ij4TZZiZUwz7Swc+1hZE="
request_data = request.get_data()
digest = hmac.new(base64.b64decode(security_token), msg=request_data, digestmod=hashlib.sha256).digest()
signature = base64.b64encode(digest).decode()
# TODO: verify that HMAC header == signature
return jsonify({
'type' : 'message',
'text' : "auth header: {0} <br>hmac: {1}".format(request.headers.get('Authorization').split(' ')[1], signature),
})
elif request.method == 'GET':
return "Hello World"
if __name__ == '__main__':
app.run(debug=True)
| 归档时间: |
|
| 查看次数: |
1496 次 |
| 最近记录: |