码云的WebHook支持两种验证方式，一种是明文密码验证，另外一种是密钥验证

用户通过配置不公开的 WebHook 密钥，在请求时对请求内容签名，服务端在收到请求后以同样的密钥进行签名验证，以确认收到的请求完整且可信任。

整个过程 WebHook 密钥只存在于 Gitee 和服务端，不在网络传输中暴露。

那么PHP应该如何验证呢？文档只提供了Java和Python2的示例代码，我大PHP不配验证？

文档中说明了对应的参数：需要一个timestamp和secret，这两个参数从哪来呢？

从请求头中获取，我这里以Swoole的HTTP Server为例

$signature = $header['x-gitee-token'] ?? '';
$timestamp = $header['x-gitee-timestamp'] ?? '';

获取到所需要的参数之后来看一下具体步骤：

Step1：把timestamp+"\n"+密钥当做签名字符串，使用HmacSHA256算法计算签名。
Setp2：对上述得到的结果进行 Base64 encode。
Setp3：对上述得到的结果进行 urlEncode，得到最终的签名（需要使用UTF-8字符集）。

官方文档一不注意就入了坑，文档需要urlEncode是因为要拼接到URL中，实际验证时是不需要的

不能想着直接反推回去验证，而且HmacSHA256不支持反推，我们只能自己生成验证对比进行验证

所以我们可以得到这样的代码：

$signature = $header['x-gitee-token'] ?? '';
$timestamp = $header['x-gitee-timestamp'] ?? '';

$secret = '123456'; // 所配置的密钥信息
$secret_str = "$timestamp\n$secret";
$compute_token = base64_encode(hash_hmac('sha256', $secret_str, $secret, true));
if ($signature !== $compute_token) {
    echo '验证失败';
}

最后，可以直接使用我的git-deploy项目

任何个人或团体，未经允许禁止转载本文：《PHP实现码云Gitee的WebHook密钥验证算法》，谢谢合作！