概述 #
验证 Wooshpay 发送到 webhook 端点的事件。
Wooshpay 签名头 #
"(《世界人权宣言》) Wooshpay-Signature
每个签名事件中的标头都包含一个时间戳和签名。
时间戳前缀为 t=
,每个签名的前缀是 v1
.
例如
Wooshpay-Signature:t=1492774577,v1=6fdfb9c357542b8ee07277f5fca2c6f728bae2dce9be2f91412f4de922c1bae4
Webhook 密钥 #
Wooshpay 会生成一个唯一的 秘钥 为每个网络钩子 whsec_
在验证签名之前,您需要从 webhook.secret
在 webhook 对象中。
验证签名 #
通过比较 标题中的签名 到 预期签名您可以验证即使是由 Wooshpay 发送的,而不是由第三方发送的。
要逐步验证签名,您可以按照以下指南进行操作:
步骤 1:从文件头提取时间戳和签名 #
使用 ,
字符作为分隔符,得到一个元素列表。然后使用 =
字符作为分隔符,以获得前缀和值对。
前缀的值 t
对应于时间戳,而 v1
与签名相对应。您可以舍弃所有其他元素。
例如
t=1687845304,v1=6fdfb9c357542b8ee07277f5fca2c6f728bae2dce9be2f91412f4de922c1bae4
步骤 2:准备 签名支付负载
字符串 #
"(《世界人权宣言》) 签名支付负载
字符串是通过连接创建的:
- 时间戳(字符串)
- 角色
.
- 实际的 JSON 有效负载(请求正文)
例如
1687845304
+.
+JSON 有效负载
1687845304.{
"id":"evt_1NNUrjL6kclEVx6Mb1x5dKJ3",
"对象":"事件"、
"api_version":"2022-11-15"2022-11-15",
"创建":1687845303,
"数据":{
"对象":{
"id":"prod_O9oUVgsSaordCT"、
"对象":"产品"、
"active": true、
"livemode": true、
"名称":"test"、
"类型":"服务"、
"livemode": true、
"pending_webhooks":1,
"type":"product.created
}
步骤 3:确定预期签名 #
使用 SHA256 哈希函数计算 HMAC。
- 使用端点的网络钩子秘密作为 密钥您可以从以下网站获取
webhook.secret
在网络钩子对象中 - 使用
签名支付负载
字符串作为 信息 这是您在第 2 步中已经准备好的。
通过 密钥 + 信息,就可以计算出一个 HMAC 字符串,即 预期签名
例如
public static void main(String[] args) {
String webhookSecret = "whsec_261V2mfsXt1BsOjJbHaQOxnTzhWZKrUE";
String timestamp = "1687845304";
String requestBody = "{\"id\":\"evt_1NNUrjL6kclEVx6Mb1x5dKJ3\",\"object\":\"event\",\"api_version\":\"2022-11-15\",\"created\":1687845303,\"data\":{\"object\":{\"id\":\"prod_O9oUVgsSaordCT\",\"object\":\"product\",\"active\":true,\"livemode\":true,\"name\":\"test\",\"type\":\"service\",\"livemode\":true,\"pending_webhooks\":1,\"type\":\"product.created\"}";
String signedPayload = timestamp+". "+requestBody;
String signature = hmacSha256(webhookSecret,signedPayload);
String WooshpaySignature = "t="+timestamp+",v1="+signature;
}
/**
* HMAC-SHA256
*/
public static String hmacSha256(String secret, String message) {
字符串 res;
try {
Mac mac = Mac.getInstance("HmacSHA256");
SecretKey secretKey = new SecretKeySpec(secret.getBytes(), "HmacSHA256");
mac.init(secretKey);
byte[] hash = mac.doFinal(message.getBytes());
res = Hex.encodeHexString(hash);
} catch (Exception e) {
return null;
}
return res;
}
步骤 4:比较签名 #
比较 标题中的签名 到 预期签名.
对于相等匹配,计算 当前时间戳 和 收到的时间戳然后再决定差异是否在您的承受范围之内。
为了防止定时攻击,可以使用恒定时间字符串比较法,将预期签名与收到的每个签名进行比较。