gocardless PHP hmac簽名不匹配

Question

我正在使用gocardless鉤子，並且我一直在使用沙盒環境驗證hmac簽名。

所以我在沙箱中生成了webhook測試，它給了我發送的請求正文和標題。

因此，據我所知，我必須得到請求正文，並生成一個帶有密鑰的散列，並將其與webhook簽名頭部散列進行比較（聽起來並不複雜）。

所以我使用郵遞員在我的本地環境中重現它，附加相同的標題和相同的身體，但簽名永遠不會匹配。

這裏是我的嘗試：

$signature = hash_hmac('sha256',$request->getContent(), 'secret'); 

請注意，我用laravel框架，所以我的第一個想法是，也許框架內部操作的要求，所以我想這：

$request_data = file_get_contents('php://input'); 
$signature = hash_hmac('sha256',$request_data, 'secret'); 

但仍然不匹配，我注意到我的新線，也許這可能會修改結果，所以我清理它...

$request_data = str_replace(array('.', ' ', "\n", "\t", "\r"), '', $request_data); 

但仍然不匹配，而且我試圖在UTF8中投射主體數據，並使hmac返回raw並在base64中對其進行編碼......但沒有成功。

那麼在這裏會出現什麼問題呢？也許簽名不能在沙箱環境中工作？有沒有人處理過它？

提前致謝！

Answer 1

最後我發現這個問題，在沙箱面板中無心的他們顯示請求未定義的，所以長度不同，只是縮小它，你就可以測試！現在簽名匹配！

Answer 2

我們已經更新了我們的開發者文檔，你可以找到比在https://developer.gocardless.com/getting-started/api/staying-up-to-date-with-webhooks/?lang=php#building-a-webhook-handler

你想要做這樣的事情

<?php 
// We recommend storing your webhook endpoint secret in an environment variable 
// for security, but you could include it as a string directly in your code 
$token = getenv("GC_WEBHOOK_SECRET"); 

$raw_payload = file_get_contents('php://input'); 

$headers = getallheaders(); 
$provided_signature = $headers["Webhook-Signature"]; 

$calculated_signature = hash_hmac("sha256", $raw_payload, $token); 

if ($provided_signature == $calculated_signature) { 
    // Process the events 

    header("HTTP/1.1 200 OK"); 
} else { 
    header("HTTP/1.1 498 Invalid Token"); 
}