关于 GitHub 的 webhook 的 secret 的校验问题?

问答 / 0 / 2 / 创建于 7年前

我的理解:
参考github的Webhook文档
我理解为附加在Header中的X-Hub-Signature是由payload和secret通过sha1加密生成的.

我的校验代码

public function check(Request $request){
    $signature = "sha1=".hash_hmac('sha1',json_decode($request->payload),  env('WEBHOOK_SECRET_TOKEN') );
    if(strcmp($signature, $request->header('X-Hub-Signature')) == 0){
          return true;
    }
    return false;
}

结果就是一直不匹配.

期间我参考了@shelter关于gitlab的webhook的大作
但是和我阅读github-webhook的验证原理似乎不太一样.

没有什么头绪, 上来求助, 感谢!

10 声望

暂无个人描述~

《L03 构架 API 服务器》

你将学到如 RESTFul 设计风格、PostMan 的使用、OAuth 流程，JWT 概念及使用和 API 开发相关的进阶知识。

《L02 从零构建论坛系统》

以构建论坛项目 LaraBBS 为线索，展开对 Laravel 框架的全面学习。应用程序架构思路贴近 Laravel 框架的设计哲学。

推荐文章：

更多推荐...

用 Laravel12 Startkit 做了一个 composer 私有包托管平台 😂 点赞超过 20 个开源，看看需要的人多不多 28 / 19 |

如何打造令后端面试官印象深刻的简历？ 14 / 10 |

花了四个月打磨的 Laravel Plus 开源 30 / 98 |

冯老师的困惑 —— 一个跑了两年的 BUG 19 / 16 |

在laravel下实现全双工的websocket开发 21 / 8 |

无需修改任何代码和扩展将你的Laravel项目性能提高20倍 101 / 98 |

讨论数量: 2

leo

管理员 4.7k 声望 / Engineering Director of Backend @ RightCapital

json_encode($request->getContent())

7年前评论

泽

10 声望

@leo 感谢提醒!
我最后测试成功的代码是

$signature = "sha1=".hash_hmac('sha1', $request->getContent(),  env('WEBHOOK_SECRET_TOKEN') );

7年前评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助