我正在使用 Go 制作一些 API。我希望能够使用秘密令牌处理 Github webhook。我在我的 webhook Github 上设置了“azerty”的秘密。
现在我尝试验证传入的 Webhook 是否具有正确的秘密令牌。我读过 Github 文档,其中说该算法使用 HMAC 和 SHA1。但我无法验证传入的 Github webhook 的秘密......
func IsValidSignature(r *http.Request, key string) bool {
// KEY => azerty
gotHash := strings.SplitN(r.Header.Get("X-Hub-Signature"), "=", 2)
if gotHash[0] != "sha1" {
return false
}
defer r.Body.Close()
b, err := ioutil.ReadAll(r.Body)
if err != nil {
log.Printf("Cannot read the request body: %s\n", err)
return false
}
hash := hmac.New(sha1.New, []byte(key))
if _, err := hash.Write(b); err != nil {
log.Printf("Cannot compute the HMAC for request: %s\n", err)
return false
}
expectedHash := hex.EncodeToString(hash.Sum(nil))
log.Println("EXPECTED HASH:", expectedHash)
log.Println("GOT HASH:", gotHash[1])
return gotHash[1] == expectedHash
}
EXPECTED HASH: 10972179a3b0efc337f79ec41847062bc598bb04
GOT HASH: 36de72e0d386e36e2c7b034c85cd3b3889594992
为了进行测试,我使用正确的标头在 Postman 中复制了 Github Webhook 的有效负载。我不知道为什么我得到两个不同的哈希...我已经检查过我的密钥是否为空且值正确,并且我的正文也不是空的。
我错过了什么吗?
不负相思意
相关分类