Bar*_*t S 3 javascript webhooks typeform
我设置了一个Typeform webhook,它运行良好。
现在我正在尝试保护它,但我被困在Typeform部分的验证有效负载中。
我将概述的步骤和 Ruby 示例(以及Typeform Helpcenter 发送给我的PHP 示例)改编为 Node (Meteor):
const crypto = require('crypto');
function post() {
const payload = this.bodyParams;
const stringifiedPayload = JSON.stringify(payload);
const secret = 'the-random-string';
const receivedSignature = lodash.get(request, 'headers.typeform-signature', '');
const hash = crypto
.createHmac('sha256', secret)
.update(stringifiedPayload, 'binary')
.digest('base64');
const actualSignature = `sha256=${hash}`;
console.log('actualSignature:', actualSignature);
console.log('receivedSignature:', receivedSignature);
if (actualSignature !== receivedSignature) {
return { statusCode: 200 };
}
// .. continue ..
});
但是actualSignature和receivedSignature从不匹配,我得到的结果如下:
actualSignature: sha256=4xe1AF0apjIgJNf1jSBG+OFwLYZsKoyFBOzRCesXM0g=
receivedSignature: sha256=b+ZdBUL5KcMAjITxkpzIFibOL1eEtvN84JhF2+schPo=
为什么会这样?
小智 5
您需要使用原始二进制请求,它在此处的文档中指定
使用 HMAC SHA-256 算法,以二进制形式创建整个接收到的有效负载的哈希(使用 created_token 作为密钥)。
这是一个使用 express 和 body-parser 中间件的示例
const crypto = require('crypto');
const express = require("express");
const bodyParser = require('body-parser');
const TYPEFORM_SECRET = 'your-secret';
const app = express();
const port = 3000;
app.use(bodyParser.raw({ type: 'application/json' }));
app.post(`/webhook`, (req, res) => {
const expectedSig = req.header('Typeform-Signature');
const hash = crypto.createHmac('sha256', TYPEFORM_SECRET)
.update(req.body)
.digest('base64');
const actualSig = `sha256=${hash}`;
if (actualSig !== expectedSig) {
// invalid request
res.status(403).send();
return;
}
// successful
res.status(200).send();
});
app.listen(port, () => {
console.log(`listening on port ${port}!`);
});
| 归档时间: |
|
| 查看次数: |
1213 次 |
| 最近记录: |