七牛云回调签名验证不一致原因及解决方案

在使用七牛云进行文件管理时，回调签名验证是确保数据安全的关键步骤。然而，有时会出现回调签名验证不一致的情况，导致验证失败。本文详细分析了七牛云回调签名验证不一致的原因，并提供了具体的解决方案。通过对代码的调整和完善，包括完善URI获取、请求体处理以及增加详细的调试信息，可以有效解决这一问题，确保验证过程顺利进行。

七牛云回调签名验证不一致问题分析与解决方案

在使用七牛云进行文件管理时，回调签名验证是确保数据安全的关键步骤。然而，有时会出现回调签名验证不一致的情况，导致验证失败。以下是问题的分析和解决方案。

问题分析

在给定的问题内容中，代码尝试验证七牛云的回调签名，但验证结果始终与七牛云传来的签名不匹配。具体代码如下：

public function verifyCallbackSignature(Request $request): bool
{
    $authstr = $request->header('Authorization');
    if (empty($authstr) || strpos($authstr, "QBox ") !== 0) {
        \support\Log::debug("签名验证失败-头部格式错误", [
            'sign_content' => 'qianmingshibai'
        ]);
        return false;
    }

    $auth = explode(":", substr($authstr, 5));
    if (count($auth) !== 2 || $auth[0] !== env('QINIU_AK')) {
        \support\Log::debug("签名验证失败-AK不匹配", [
            'sign_content' => 'zhanghuAkshibai',
            'auth_count' => count($auth),
            'auth_ak' => $auth[0],
        ]);
        return false;
    }

    $data = $request->uri() . "\n" . file_get_contents('php://input');
    $re = $this->URLSafeBase64Encode(hash_hmac('sha1', $data, env('QINIU_SK'), true)) === $auth[1];

    \support\Log::debug("签名验证详情", [
        'data' => $data,
        'computed_sign' => $this->URLSafeBase64Encode(hash_hmac('sha1', $data, env('QINIU_SK'), true)),
        'received_sign' => $auth[1],
    ]);

    return $re;
}

在实际测试中，发现即使尝试使用body，但由于前端没有添加body，导致后端获取的body为空，因此生成的computed_sign始终与七牛云传来的签名不一致。

解决方案

为了解决这个问题，我们需要对代码进行一些调整和完善。修改后的代码如下：

public function verifyCallbackSignature(Request $request): bool
{
    $authstr = $request->header('Authorization');
    if (empty($authstr) || strpos($authstr, "QBox ") !== 0) {
        \support\Log::debug("签名验证失败-头部格式错误", [
            'sign_content' => 'qianmingshibai',
            'authstr' => $authstr,
        ]);
        return false;
    }

    $auth = explode(":", substr($authstr, 5));
    if (count($auth) !== 2 || $auth[0] !== env('QINIU_AK')) {
        \support\Log::debug("签名验证失败-AK不匹配", [
            'sign_content' => 'zhanghuAkshibai',
            'auth_count' => count($auth),
            'auth_ak' => $auth[0],
            'expected_ak' => env('QINIU_AK'),
        ]);
        return false;
    }

    // 获取 URI 和请求体
    $uri = $request->uri();
    if (!empty($_SERVER['QUERY_STRING'])) {
        $uri .= '?' . $_SERVER['QUERY_STRING'];
    }
    $body = file_get_contents('php://input');
    $data = $uri . "\n" . $body;

    // 计算签名
    $computed_sign = $this->URLSafeBase64Encode(hash_hmac('sha1', $data, env('QINIU_SK'), true));

    // 记录调试信息
    \support\Log::debug("签名验证详情", [
        'uri' => $uri,
        'body' => $body,
        'data' => $data,
        'computed_sign' => $computed_sign,
        'received_sign' => $auth[1],
        'secret_key' => substr(env('QINIU_SK'), 0, 4) . '****',
    ]);

    return $computed_sign === $auth[1];
}

public function URLSafeBase64Encode($data): string
{
    return str_replace([' ', '/'], ['-', '_'], base64_encode($data));
}

解决方案解释

1. 完善URI获取：在获取URI时，考虑了可能存在的查询字符串(QUERY_STRING)，确保URI的完整性。
2. 请求体的处理：即使前端没有提供请求体，依然会读取php://input，确保数据的完整性。
3. 详细的调试信息：增加了更多的调试信息，包括URI、请求体、计算出的签名和接收到的签名等，方便排查问题。
4. 签名计算：使用相同的算法和秘钥进行签名计算，确保计算出的签名与七牛云传来的签名一致。

通过以上修改，可以有效解决七牛云回调签名验证不一致的问题，确保验证过程顺利进行。

今天关于《七牛云回调签名验证不一致原因及解决方案》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于的内容请关注golang学习网公众号！