Java 和 Go 生成的 HmacSha256 签名不一致

从现在开始，努力学习吧！本文《Java 和 Go 生成的 HmacSha256 签名不一致》主要讲解了等等相关知识点，我会在golang学习网中持续更新相关的系列文章，欢迎大家关注并积极留言建议。下面就先一起来看一下本篇正文内容吧，希望能帮到你！

我正在将代码从 go 转换为 java。要转换的源代码位于 https://github.com/h2non/imaginary#url-signature，这是我当前转换为 java 的代码。

问题是我遗漏了一些东西，因为 java 中生成的签名与 go 中生成的签名不同。

预期结果（如 go 中的源代码）：

ruewrofo-ic-l38vtsjqiye6dlz532ctazxoh1gwuvo

java 中的实际结果：

x2clz4ynsxcfpnc6h3w832vyriq=

我的 java 代码：

@test
public void testsomestring() throws exception {
    string signkey = "4f46feebafc4b5e988f131c4ff8b5997";
    string urlpath = "/resize";
    string urlquery = "file=image.jpg&height=200&type=jpeg&width=300";

    byte[] signkeyasbytes = signkey.getbytes("utf-8");
    secretkey sha256_key = new secretkeyspec(signkeyasbytes, "hmacsha256");

    byte[] hashasbytes=hashing.hmacsha1(sha256_key)
            .newhasher()
            .putstring(urlpath, utf_8)
            .putstring(urlquery, utf_8)
            .hash().asbytes();
    string hash = base64.geturlencoder().encodetostring(hashasbytes);

    //correct value in golang is: "ruewrofo-ic-l38vtsjqiye6dlz532ctazxoh1gwuvo"
    assert.assertequals("ruewrofo-ic-l38vtsjqiye6dlz532ctazxoh1gwuvo", hash);

    /*
    junit test fails with:
    expected :ruewrofo-ic-l38vtsjqiye6dlz532ctazxoh1gwuvo
    actual   :x2clz4ynsxcfpnc6h3w832vyriq=
    */
}

这是 go 中的原始版本：

package main

import (
    "crypto/hmac"
    "crypto/sha256"
    "encoding/base64"
    "fmt"
)

func main() {
    fmt.Println("Hello, playground")
    signKey := "4f46feebafc4b5e988f131c4ff8b5997"
    urlPath := "/resize"
    urlQuery := "file=image.jpg&height=200&type=jpeg&width=300"

    h := hmac.New(sha256.New, []byte(signKey))
    h.Write([]byte(urlPath))
    h.Write([]byte(urlQuery))
    buf := h.Sum(nil)

    fmt.Println("sign=" + base64.RawURLEncoding.EncodeToString(buf))
}

解决方案

我不知道您在 java 中使用的 hashing 类是什么，因为它不是标准的，但是如果我使用标准类 javax.crypto.mac 对该密钥和数据执行 hmacsha256（不是 hmacsha1）--并使用 json 推广的 base64 的“未填充 urlsafe”变体进行编码，而不是 java 默认的传统变体 - 我确实得到了 ruewrofo-ic-l38vtsjqiye6dlz532ctazxoh1gwuvo。

但是，在没有某些定界的情况下对路径和查询进行签名是非常糟糕的做法 - 这可能允许签名“移动”到不同的数据。使用字符但仅限十六进制数字字符的密钥也很奇怪，尽管不是直接危险的。如果没有进行广泛的调查，我不会将这样设计的方案用于任何重要的事情。

供将来参考，这是最终的工作解决方案

package hashingImaginary;

import org.apache.commons.codec.binary.Base64;
import org.junit.Assert;
import org.junit.Test;

import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;

public class apacheHashingTest {

@Test
public void testWithJavaHmacApacheBase64() throws Exception {
    String urlPath = "/resize";
    String urlQuery = "file=image.jpg&height=200&type=jpeg&width=300";

    String signKey = "4f46feebafc4b5e988f131c4ff8b5997";
    String message = urlPath + urlQuery;

    Mac sha256_HMAC = Mac.getInstance("HmacSHA256");
    SecretKeySpec secret_key = new SecretKeySpec(signKey.getBytes(), "HmacSHA256");
    sha256_HMAC.init(secret_key);

    String hash = Base64.encodeBase64URLSafeString(sha256_HMAC.doFinal(message.getBytes()));
    System.out.println(hash);

    Assert.assertEquals("ruEWRoFO-ic-L38vTsjqIYE6DLZ532CTaZXOh1gwuVo", hash);
}
}

今天关于《Java 和 Go 生成的 HmacSha256 签名不一致》的内容介绍就到此结束，如果有什么疑问或者建议，可以在golang学习网公众号下多多回复交流；文中若有不正之处，也希望回复留言以告知！