我正在使用 Go 制作一个小 API。我希望能够使用秘密令牌处理 Github webhooks。我在我的 webhook Github 上设置了秘密，即“azerty”。

现在我尝试验证传入的 webhook 是否具有正确的秘密令牌。我已经阅读了 Github 文档，其中说该算法将 HMAC 与 SHA1 结合使用。但我无法验证传入的 Github webhook 的秘密......

func IsValidSignature(r *http.Request, key string) bool {

    // KEY => azerty

    gotHash := strings.SplitN(r.Header.Get("X-Hub-Signature"), "=", 2)

    if gotHash[0] != "sha1" {

        return false

    }

    defer r.Body.Close()

    b, err := ioutil.ReadAll(r.Body)

    if err != nil {

        log.Printf("Cannot read the request body: %s\n", err)

        return false

    }

    hash := hmac.New(sha1.New, []byte(key))

    if _, err := hash.Write(b); err != nil {

        log.Printf("Cannot compute the HMAC for request: %s\n", err)

        return false

    }

    expectedHash := hex.EncodeToString(hash.Sum(nil))

    log.Println("EXPECTED HASH:", expectedHash)

    log.Println("GOT HASH:", gotHash[1])

    return gotHash[1] == expectedHash

}

EXPECTED HASH: 10972179a3b0efc337f79ec41847062bc598bb04

GOT HASH: 36de72e0d386e36e2c7b034c85cd3b3889594992

为了测试，我在 Postman 中复制了 Github webhook 的有效负载，并带有正确的标头。我不知道为什么我得到两个不同的哈希......我已经检查了我的密钥是非空的，并且我的身体也是非空的。

我错过了什么吗？