在使用七牛云时,开发者可能会遇到回调签名验证不一致的问题,这可能会导致应用逻辑上的错误。让我们深入探讨这一问题的原因以及如何解决。
问题背景
七牛云在进行回调时,会在请求的头部包含一个 Authorization 字段,其格式为 QBox :。开发者需要使用同样的算法来验证签名是否正确,以确保请求的合法性。
用户提供了一段代码,用于验证七牛云的回调签名,但发现计算出的签名与七牛云提供的签名不一致。具体代码如下:
public function verifyCallbackSignature(Request $request): bool { $authstr = $request->header('Authorization'); if (empty($authstr) || strpos($authstr, "QBox ") !== 0) { supportLog::debug("签名验证失败-头部格式错误", [ 'sign_content' => 'qianmingshibai' ]); return false; } $auth = explode(":", substr($authstr, 5)); if (count($auth) !== 2 || $auth[0] !== env('QINIU_AK')) { supportLog::debug("签名验证失败-AK不匹配", [ 'sign_content' => 'zhanghuAkshibai', 'auth_count' => count($auth), 'auth_ak' => $auth[0], ]); return false; } $data = $request->uri() . "n" . file_get_contents('php://input'); $re = $this->URLSafeBase64Encode(hash_hmac('sha1', $data, env('QINIU_SK'), true)) === $auth[1]; supportLog::debug("签名验证详情", [ 'data' => $data, 'computed_sign' => $this->URLSafeBase64Encode(hash_hmac('sha1', $data, env('QINIU_SK'), true)), 'received_sign' => $auth[1], ]); return $re; }
用户提到的问题是,计算出的 computed_sign 始终与七牛云传来的签名不一致,并且前端没有发送请求体,导致后端获取到的 php://input 为空。
解决方法
为了解决这个问题,修改后的代码应该考虑以下几点:
- 检查请求体的完整性:确保从 php://input 读取到的数据是正确的,如果没有请求体,则应该处理这种情况。
- URI 的完整性:确保获取的是完整的 URI,包括查询字符串。
- 详细的调试信息:增加调试信息的输出,以便更容易定位问题。
下面是根据这些考虑点修改后的代码:
public function verifyCallbackSignature(Request $request): bool { $authstr = $request->header('Authorization'); if (empty($authstr) || strpos($authstr, "QBox ") !== 0) { supportLog::debug("签名验证失败-头部格式错误", [ 'sign_content' => 'qianmingshibai', 'authstr' => $authstr, ]); return false; } $auth = explode(":", substr($authstr, 5)); if (count($auth) !== 2 || $auth[0] !== env('QINIU_AK')) { supportLog::debug("签名验证失败-AK不匹配", [ 'sign_content' => 'zhanghuAkshibai', 'auth_count' => count($auth), 'auth_ak' => $auth[0], 'expected_ak' => env('QINIU_AK'), ]); return false; } // 获取 URI 和请求体 $uri = $request->uri(); if (!empty($_SERVER['QUERY_STRING'])) { $uri .= '?' . $_SERVER['QUERY_STRING']; } $body = file_get_contents('php://input'); $data = $uri . "n" . $body; // 计算签名 $computed_sign = $this->URLSafeBase64Encode(hash_hmac('sha1', $data, env('QINIU_SK'), true)); // 记录调试信息 supportLog::debug("签名验证详情", [ 'uri' => $uri, 'body' => $body, 'data' => $data, 'computed_sign' => $computed_sign, 'received_sign' => $auth[1], 'secret_key' => substr(env('QINIU_SK'), 0, 4) . '****', ]); return $computed_sign === $auth[1]; } public function URLSafeBase64Encode($data): string { return str_replace([' ', '/'], ['-', '_'], base64_encode($data)); }
这个修改后的版本增加了对 URI 查询字符串的处理,并确保在计算签名时考虑到了请求体的内容,即使请求体可能为空。同时,详细的调试信息也增加了,以便于更快地诊断和解决问题。
通过这些调整,开发者应该能够更好地处理七牛云的回调签名验证问题,确保应用的安全性和正确性。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
