问题描述
我们需要从php laravel后端调用第三方api。要调用该api,我们需要以签名形式发送一些数据以用于授权目的。对于签名过程,提供了以下抽象方法
signature = base64(hmacSHA256(utf8EncodingOf(partnerSecret),utf8EncodingOf(stringToSign)))
他们还提供了一个邮递员收藏来测试api。在调查集合时,我们偶然发现了使用CryptoJS库生成签名的“预请求脚本”。
主要问题出现在开始签名过程之前,直到所有输出都相同为止。
使用CryptoJS考虑以下JS代码。
let stringToSign = 'aReallyLongStringNeededToBeSigned';
let secret = 'thisIsVerySecret';
stringToSign = CryptoJS.enc.Utf8.parse(stringToSign);
let key = CryptoJS.enc.Utf8.parse(secret);
console.log('after encode stringToSign => '+stringToSign);
console.log('after encode key => '+key);
let hash = CryptoJS.HmacSHA256(stringToSign,key);
let signature = ''+CryptoJS.enc.Base64.stringify(hash);
console.log('generated hash => '+hash);
console.log('generated signature => '+signature);
给出以下输出:
after encode stringToSign => 615265616c6c794c6f6e67537472696e674e6565646564546f42655369676e6564
after encode key => 74686973497356657279536563726574
generated hash => 703e481c7e9a0409a0a78853679e15d34f7ce8972b8d9678471cd0d98f4e61cf
generated signature => cD5IHH6aBAmgp4hTZ54V00986JcrjZZ4RxzQ2Y9OYc8=
现在考虑将以下PHP代码用于类似的工作:
$stringToSign = 'aReallyLongStringNeededToBeSigned';
$secret = 'thisIsVerySecret';
$stringToSign = utf8_encode($stringToSign);
$key = utf8_encode($secret);
Log::info('after encode stringToSign => '.$stringToSign);
Log::info('after encode key => '.$key);
$hash = hash_hmac('sha256',$stringToSign,$key,true);
$signature = base64_encode($hash);
Log::info('generated hash => '.$hash);
Log::info('generated signature => '.$signature);
在PHP中,它提供以下输出。
after encode stringToSign => aReallyLongStringNeededToBeSigned
after encode key => thisIsVerySecret
generated hash => p>H~� ���Sg��O|�+��xG�ُNa�
generated signature => cD5IHH6aBAmgp4hTZ54V00986JcrjZZ4RxzQ2Y9OYc8=
之后的输出不同。它始于utf8编码方法。我们还尝试使用CryptoJS生成的编码输出来查看php的hmacSha256,如下所示。
$hash = hash_hmac('sha256',"615265616c6c794c6f6e67537472696e674e6565646564546f42655369676e6564","74686973497356657279536563726574",true);
最后一个值在true和false之间调整时,输出如下。
generated hash => (,F\=�V�կ��w}��@��j6�z�VP�S // true
generated hash => 281e2c465c3dbd56b1d5af84ea777d92e34095e16a0f360ee87a7fa156509f53 // false
我们肯定在这里丢失了一些东西。所以问题是:
- 为什么相同的哈希算法的输出不同(特别是hmacSha256)?
- PHP获得与CryptoJS类似的结果的功能是什么?
请分享您的宝贵发现。预先感谢.....
N.B .:我们已经看到以下内容。但这并不能帮助我们获得所需的输出。
解决方法
您将PHP脚本存储在什么字符编码中?如果已经是UTF-8,则不应将utf8_encode
应用于输入值,因为那样将使编码“加倍”。
如果您的脚本 已经以UTF-8编码保存,则
base64_encode(hash_hmac('sha256','aReallyLongStringNeededToBeSigned','thisIsVerySecret',true));
得到cD5IHH6aBAmgp4hTZ54V00986JcrjZZ4RxzQ2Y9OYc8=
,而这正是您想要的结果。