Arxon 2024-08-20 15:15 采纳率: 0%
浏览 18
已结题

webhook无法验证负载

问题描述

当前的有一个对接facebook webhook的需求,所以这个接口不能加鉴权、认证。但是facebook发送的请求头中会有一个hamn-sha256的验签,本地根据接收到是负载和应用密钥计算签名,计算一致再进行一系列操作。但是根据官方文档的说明的js代码片段,计算的验签无论如何也无法匹配官方验签名。

Facebook官方说明
验证有效负载

我们使用SHA256签名对所有事件通知负载进行签名,并将签名包含在请求的“X-Hub-Signature-256”标头中,前面带有“sha256=”。您不必验证有效负载,但您应该这样做,而且我们强烈建议您这样做。

  • 使用有效负载和应用程序的App Secret生成SHA256签名。

  • 将您的签名与X-Hub-Signature-256标头中的签名( sha256=之后的所有内容)进行比较。如果签名匹配,则有效负载是真实的。

官方提供的js代码片段

function verifyRequestSignature(req, res, buf) {
  var signature = req.headers["x-hub-signature-256"];

  if (!signature) {
    console.warn(`Couldn't find "x-hub-signature-256" in headers.`);
  } else {
    var elements = signature.split("=");
    var signatureHash = elements[1];
    var expectedHash = crypto
      .createHmac("sha256", config.appSecret)
      .update(buf)
      .digest("hex");
    if (signatureHash != expectedHash) {
      throw new Error("Couldn't validate the request signature.");
    }
  }
}
根据js代码写的Java代码

        byte[] hmacValue = DigestUtil.hmac(HmacAlgorithm.HmacSHA256,
                        FACEBOOK_APPLICATION_SECRET.getBytes(StandardCharsets.UTF_8))
                .digest(body.getBytes(StandardCharsets.UTF_8));
        String sig = HexUtil.encodeHexStr(hmacValue);
  • 写回答

4条回答 默认 最新

  • 专家-赤兔[在线] 优质创作者: 编程框架技术领域 2024-08-20 15:38
    关注

    确保你的 Java 代码中处理的数据与 Facebook 发送的确切相同。检查 body 是否包含了完整的请求负载,且没有添加任何额外的换行符或空白字符。同时,确认 FACEBOOK_APPLICATION_SECRET 的值正确无误。

    评论

报告相同问题?

  • github-webhooks:Haskell类型和实例,用于解码GitHub webhook有效负载
    2021-02-02 19:32
    这个名为“github-webhooks”的项目专注于为Haskell编程语言提供类型和实例,以便解析GitHub webhook发送的JSON有效负载。下面我们将深入探讨相关的知识点。 首先,`webhooks`是GitHub提供的一种机制,它允许开发者...
  • 24、Kubernetes 准入控制与 Webhook 详解
    2025-10-03 01:15
    hp777的博客 从准入链的认证授权、变异与验证控制器流程,到树内控制器的演进趋势,详细介绍了Webhook如何通过外部服务实现灵活的策略控制。文章还涵盖了Webhook的配置方式、设计考虑因素如故障模式、顺序、性能和副作用,并对比...
  • py_webhook_template:用Python编写的Webhook或微服务!
    2021-04-05 02:40
    5. **验证机制**:为了确保数据的安全性和完整性,Webhook通常需要验证请求来源,这可能涉及到签名验证或OAuth等认证流程。 6. **错误处理**:在实现Webhook服务时,良好的错误处理是必不可少的,包括捕获和处理HTTP...
  • webhook-spammer:垃圾网页钩子很酷
    2021-03-25 13:54
    4. **测试与安全**: webhook-spammer可以用于测试目的,验证Webhook接收端是否能正确处理大量的并发请求,但过度使用可能会被视为DoS攻击。因此,必须谨慎使用并确保遵循合适的使用规定。 5. **代码结构**: ...
  • webhook-logger
    2021-05-22 11:10
    具体实现可能涉及Node.js、Python、Go等后端编程语言,以及可能使用的一些框架和库,如Express.js、Flask、Gin等。 总的来说,"webhook-logger"项目是IT系统中监控和调试webhook活动的重要工具,对理解HTTP交互、...
  • messenger-webhook
    2021-03-06 19:00
    **信使网钩(Messenger Webhook)**是Facebook Messenger平台上的一个重要组件,它允许应用程序接收和发送消息到Messenger用户。这个功能是通过订阅特定事件,如消息送达、用户交互等,来实现即时通信和自动化流程的...
  • go-ccai-webhook
    2021-02-09 15:11
    1. **Go 语言基础**:Go 语言由 Google 设计,强调并发编程和垃圾回收,是构建 web 服务的常见选择。它有丰富的标准库,如 `net/http`,用于创建 HTTP 服务器和客户端,以及 `context` 包用于管理请求的上下文。 2....
  • discord_webhook_server-源码.rar
    2021-10-10 20:30
    - **Node.js与Express**:"discord_webhook_server-源码.rar"很可能使用Node.js作为后端开发语言,搭配Express框架构建Web服务器。Express简化了HTTP请求处理和路由配置。 - **接收Webhook请求**:服务器需要监听...
  • 工作流会使用到Webhook是什么
    2025-06-24 23:23
    舒一笑不秃头的博客 与API轮询不同,Webhook采用"推送"模式,具有实时性强、效率高的特点。其核心机制包括事件触发、HTTP请求发送、数据负载传递和即时响应。不同于消息中间件,Webhook是点对点的直接推送,而消息中间件通过...
  • webhook_handler:随机Webhooks的处理程序
    2021-03-05 05:52
    Go语言的并发模型使得它可以轻松处理多个并发请求,这在高负载Webhook处理场景下非常有用。 webhook_handler项目的代码结构可能包括以下几个部分: 1. **配置管理**:设置Webhook处理器的配置,如监听的端口、...
  • 16、持续集成与项目托管:GitHub WebHook 与 TeamCity 实战
    2025-07-21 17:03
    jj890的博客 内容涵盖GitHub WebHook的事件订阅与有效负载处理、TeamCity的安装与配置流程、使用Cake进行构建自动化,以及如何在TeamCity和Visual Studio Team Services中创建构建步骤。通过这些工具的结合,开发团队可以实现...
  • Webhook实现Linux服务器的HTTP事件驱动
    2025-05-19 15:01
    华科℡云的博客 其核心优势在于事件驱动架构:当系统状态变更(如CPU负载超阈值、磁盘空间不足)时,监控系统主动推送HTTP POST请求至预设的Webhook端点,触发预定义的处理流程。在现代化服务器运维体系中,Webhook作为轻量级的事件...
  • GitHub Webhook自动触发:响应PyTorch代码推送事件
    2025-12-29 18:17
    李开机呢的博客 通过GitHub Webhook与Docker容器化技术,实现PyTorch代码推送后自动部署GPU训练环境。每次提交都能触发标准化流程,确保环境一致、无需手动干预,提升团队协作效率与实验可复现性。
  • 学习webhook与coze实现ai code review
    2025-07-23 21:39
    「已注销」的博客 零配置部署: 简单的环境变量配置即可运行 智能分析 代码质量评估: 全面分析代码结构、性能和安全性 最佳实践建议: 基于行业标准提供改进建议 多语言支持: 支持JavaScript、Python、Java等主流编程语言 结果持久化 ...
  • 【PHP开发900个实用技巧】420.Webhook实现:构建事件驱动架构的通知系统
    2025-06-08 16:12
    精通代码大仙的博客 摘要:本文深度剖析Webhook技术在PHP系统中的应用,揭示如何...通过电商平台真实案例,展示Webhook如何将通知延迟从分钟级降至毫秒级,同时降低70%服务器负载,为PHP开发者提供了一套完整的实时系统解决方案。(149字)
  • 高级 Python Web 应用中的身份验证与授权机制解析
    2024-09-13 20:33
    Switch616的博客 OAuth2 是一种授权框架,允许第三方应用程序代表用户访问资源。授权码流程:适用于 Web 应用,用户通过授权...OpenID Connect 是在 OAuth2 的基础上增加了身份验证的协议。它引入了 ID Token,用于携带用户的身份信息。
  • 34、营销云开发:Webhook、微服务与自定义旅程构建器活动
    2025-09-13 05:09
    y7z8a9的博客 本文探讨了营销云开发中使用Webhook和微服务架构构建自定义旅程构建器活动的方法。内容涵盖微服务与传统单体架构的对比、旅程构建器的文件结构与环境设置、前端UI设计、Postmonger事件处理、身份验证机制实现,以及...
  • Agent 服务负载均衡与动态路由机制设计实战
    2025-05-02 10:32
    观熵的博客 在企业级智能体平台中,Agent 服务作为任务执行的核心组件,其调用负载呈现非均匀、多波动、高实时性等特征。为保障系统稳定运行与调用性能,必须构建基于实时状态、Trace 语义、资源指标与策略标识的**多因子服务...
  • 没有解决我的问题, 去提问

问题事件

  • 已结题 (查看结题原因) 8月20日
  • 创建了问题 8月20日