那些遇到过的问题

Coldfusion CFHTTP与SHA512-hmac签署了REST请求主体

Jay*_*Jay 14 api encryption coldfusion signed cfhttp

我正在尝试在bitfloor.com上向交易API发出签名请求(这是一个REST API)

Bitfloor给了我:

1)API密钥(即6bd2b780-00be-11e2-bde3-2837371c3c3a)

2)密钥(即oaFz62YpmbWiXwseMUSod53D8pOjdyVcweNYdiab/TSQqxk6IuemDvimNaQoA ==)

以下是Bitfloor提出请求的确切说明:

请求必须是端口443(https)上的HTTPS POST请求.每个请求必须包含所需的标头(如下所列).标头识别,验证和验证您的请求以防止篡改.头

bitfloor-key这是由bitfloor提供的唯一标识您的帐户.(即6bd2b780-00be-11e2-bde3-2837371c3c3a)

bitfloor-sign符号字段是请求正文的sha512-hmac,使用与您的api密钥对应的密钥.

要签署您的请求: base64将密钥解码为原始字节(64字节).将这些字节用于http请求正文的sha512-hmac签名.Base64对签名结果进行编码并发送到此标头字段.

bitfloor-passphrase创建此api密钥时指定的密码.如果忘记,我们无法恢复您的密码.您需要创建一个新的API密钥.

bitfloor-version您感兴趣的资源的api版本.当前唯一有效的值是1

经过整整八个小时的反复试验并反复搜索互联网以获取任何洞察力或信息,以下代码尽可能接近我认为可能在如何正确构建请求的方向,唉,无论我接受什么,我的API都会返回"无效签名".

这是我到目前为止所拥有的......

首先,我在网上找到了这个函数,有人写信给SHA512签名:

<cffunction name="HMAC_SHA512" returntype="binary" access="public" output="false">
    <cfargument name="signKey" type="string" required="true">
    <cfargument name="signMessage" type="string" required="true">

    <cfset var jMsg = JavaCast("string",arguments.signMessage).getBytes("iso-8859-1")>
    <cfset var jKey = JavaCast("string",arguments.signKey).getBytes("iso-8859-1")>
    <cfset var key  = createObject("java","javax.crypto.spec.SecretKeySpec")>
    <cfset var mac  = createObject("java","javax.crypto.Mac")>
    <cfset key  = key.init(jKey,"HmacSHA512")>
    <cfset mac  = mac.getInstance(key.getAlgorithm())>
    <cfset mac.init(key)>
    <cfset mac.update(jMsg)>
    <cfreturn mac.doFinal()>
</cffunction>
Run Code Online (Sandbox Code Playgroud)

我不知道它做了什么,但它似乎工作,没有错误.

这是我对此函数的实现以及我尝试发出请求:注意:"nonce"值是必须与请求一起发送的参数.

<cffunction name="myorders">
    <cfset nonce        = dateDiff("s",createDateTime(2012,01,01,0,0,0),now())>
    <cfset requestbody  = "?nonce=#nonce#">
    <cfset key      = "oaFz62YpmbWiXwseMUSod53D8pOjdyVcweNYdiab/TSQqxk6IuemDvimNaQoA==">
    <cfset sign     = HMAC_SHA512(key,requestbody)>
    <cfset signed       = binaryEncode(sign,"Base64")>

    <!--- HTTP REQUEST --->
    <cfhttp url = "https://api.bitfloor.com/orders#requestbody#"
        method  = "post"
        result  = "bitfloor">

    <!--- HEADERS --->
    <cfhttpparam
        type    = "body"
        value   = requestbody>
    <cfhttpparam
        type    = "header"
        name    = "bitfloor-key"
        value   = "6bd2b780-00be-11e2-bde3-2837371c3c3a">
    <cfhttpparam
        type    = "header"
        name    = "bitfloor-sign"
        value   = signed>
    <cfhttpparam
        type    = "header"
        name    = "bitfloor-passphrase"
        value   = "mysecretpassphrase">
    <cfhttpparam
        type    = "header"
        name    = "bitfloor-version"
        value   = "1">
    </cfhttp>
</cffunction>
Run Code Online (Sandbox Code Playgroud)

我认为我的大多数困惑来自于不确切知道"请求体"是什么.我觉得我也许没有签下正确的东西.

我希望有一位熟悉签名请求的Coldfusion程序员.我的智慧结束了.

请帮忙!合十礼

Lei*_*igh 2

我没有使用过该 api,但我运行了一些测试,它似乎可以通过以下调整来工作:

  • 由于该secretKey值是 base64 编码的,因此需要使用您的签名函数binaryDecode来正确提取字节。使用String.getBytes(...)会产生完全不同(且错误)的结果。

  • 预期的请求正文值只是:(nonce=#nonceValue#不带前导"?"

  • 似乎需要Content-Type=application/x-www-form-urlencoded标头,否则无法解析内容,响应为:{"error":"nonce returned"}

代码 

 <cfset apiKey = "6bd2b780-00be-11e2-bde3-2837371c3c3a">
 <cfset secretKey = "oaFz62YpmbWiXwseMUSod53D8pOjdyVcweNYdiab/TSQqxk6IuemDvimNaQoA==">
 <cfset passphrase = "your secret phrase">

 <cfset requestBody  = "nonce="& now().getTime()>
 <cfset signBytes    = HMAC_SHA512(secretKey, requestbody)>
 <cfset signBase64   = binaryEncode(signBytes, "base64")>

 <cfhttp url="https://api.bitfloor.com/orders" method="post" port="443" result="bitfloor">
    <cfhttpparam type="header" name="Content-Type" value="application/x-www-form-urlencoded">
    <cfhttpparam type="header" name="bitfloor-key" value="#apiKey#">
    <cfhttpparam type="header" name="bitfloor-sign" value="#signBase64#">
    <cfhttpparam type="header" name="bitfloor-passphrase" value="#passphrase#">
    <cfhttpparam type="header" name="bitfloor-version" value="1">
    <cfhttpparam type="body" value="#requestBody#">
 </cfhttp>

 <cfdump var="#bitfloor#" label="Response">

<cffunction name="HMAC_SHA512" returntype="binary" access="public" output="false">
    <cfargument name="base64Key" type="string" required="true">
    <cfargument name="signMessage" type="string" required="true">
    <cfargument name="encoding" type="string" default="UTF-8">

     <cfset var messageBytes = JavaCast("string",arguments.signMessage).getBytes(arguments.encoding)>
     <cfset var keyBytes = binaryDecode(arguments.base64Key, "base64")>
     <cfset var key  = createObject("java","javax.crypto.spec.SecretKeySpec")>
     <cfset var mac  = createObject("java","javax.crypto.Mac")>
     <cfset key  = key.init(keyBytes,"HmacSHA512")>
     <cfset mac  = mac.getInstance(key.getAlgorithm())>
     <cfset mac.init(key)>
     <cfset mac.update(messageBytes)>

     <cfreturn mac.doFinal()>
</cffunction>
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

896 次

最近记录:

12 年,10 月 前
相关归档
实施密码分析和密码技术的工具 6
Woocommerce REST API扩展订单响应 5
使用"始终加密"启用NodeJS的MS SQL Server数据 5
Okta API - authn始终返回无效会话 4
可以在纯ColdFusion解决方案中实现清理URL吗? 3
利用自定义标记来避免混合大量HTML标记的CFM文件? 3
使用ObjectiveC/iPhone的TwitPic API 2
输出创建不需要的空格 2
SetConsoleTextAttribute的可用颜色 2
从wave robot发送电子邮件 0
难疑归档
如何在Git中克隆所有远程分支? 3987
如何从SQL Server中的SELECT更新? 3546
将文本垂直对齐到UILabel中的顶部 2141
如何在JavaScript中将数字格式化为美元货币字符串? 1711
查看未发布的Git提交 1649
如何在Android应用程序中的活动之间传递数据? 1293
生成0到9之间的随机整数 1224
如何在Vim中移动到行尾? 1140
如何在Vim中有效地处理多个文件? 1074
AngularJS中指令范围内的'@'和'='有什么区别? 1053