PHP实现码云Gitee的WebHook密钥验证算法

码云的WebHook支持两种验证方式,一种是明文密码验证,另外一种是密钥验证

用户通过配置不公开的 WebHook 密钥,在请求时对请求内容签名,服务端在收到请求后以同样的密钥进行签名验证,以确认收到的请求完整且可信任。

整个过程 WebHook 密钥只存在于 Gitee 和服务端,不在网络传输中暴露。

那么PHP应该如何验证呢?文档只提供了Java和Python2的示例代码,我大PHP不配验证?

文档中说明了对应的参数:需要一个timestampsecret,这两个参数从哪来呢?

从请求头中获取,我这里以Swoole的HTTP Server为例

$signature = $header['x-gitee-token'] ?? '';
$timestamp = $header['x-gitee-timestamp'] ?? '';

获取到所需要的参数之后来看一下具体步骤:

Step1:把timestamp+"\n"+密钥当做签名字符串,使用HmacSHA256算法计算签名。
Setp2:对上述得到的结果进行 Base64 encode
Setp3:对上述得到的结果进行 urlEncode,得到最终的签名(需要使用UTF-8字符集)。

官方文档一不注意就入了坑,文档需要urlEncode是因为要拼接到URL中,实际验证时是不需要的

不能想着直接反推回去验证,而且HmacSHA256不支持反推,我们只能自己生成验证对比进行验证

所以我们可以得到这样的代码:

$signature = $header['x-gitee-token'] ?? '';
$timestamp = $header['x-gitee-timestamp'] ?? '';

$secret = '123456'; // 所配置的密钥信息
$secret_str = "$timestamp\n$secret";
$compute_token = base64_encode(hash_hmac('sha256', $secret_str, $secret, true));
if ($signature !== $compute_token) {
    echo '验证失败';
}

最后,可以直接使用我的git-deploy项目

发表评论

发表评论

*

沙发空缺中,还不快抢~