七牛云回调签名验证不一致的解决方案

在使用七牛云时，开发者可能会遇到回调签名验证不一致的问题，这可能导致应用逻辑错误。问题源于七牛云回调请求头部的Authorization字段，其格式为QBox，需要开发者使用相同算法验证签名。用户提供的代码在计算签名时与七牛云提供的签名不一致，主要因为前端未发送请求体，导致后端获取的php://input为空。解决方法包括检查请求体完整性，确保获取完整URI及查询字符串，并增加详细调试信息。修改后的代码通过这些调整，能更好地处理七牛云的回调签名验证问题，确保应用的安全性和正确性。

在使用七牛云时，开发者可能会遇到回调签名验证不一致的问题，这可能会导致应用逻辑上的错误。让我们深入探讨这一问题的原因以及如何解决。

问题背景

七牛云在进行回调时，会在请求的头部包含一个 Authorization 字段，其格式为 QBox :。开发者需要使用同样的算法来验证签名是否正确，以确保请求的合法性。

用户提供了一段代码，用于验证七牛云的回调签名，但发现计算出的签名与七牛云提供的签名不一致。具体代码如下：

public function verifyCallbackSignature(Request $request): bool
{
    $authstr = $request->header('Authorization');
    if (empty($authstr) || strpos($authstr, "QBox ") !== 0) {
        \support\Log::debug("签名验证失败-头部格式错误", [
            'sign_content' => 'qianmingshibai'
        ]);
        return false;
    }

    $auth = explode(":", substr($authstr, 5));
    if (count($auth) !== 2 || $auth[0] !== env('QINIU_AK')) {
        \support\Log::debug("签名验证失败-AK不匹配", [
            'sign_content' => 'zhanghuAkshibai',
            'auth_count' => count($auth),
            'auth_ak' => $auth[0],
        ]);
        return false;
    }

    $data = $request->uri() . "\n" . file_get_contents('php://input');
    $re = $this->URLSafeBase64Encode(hash_hmac('sha1', $data, env('QINIU_SK'), true)) === $auth[1];

    \support\Log::debug("签名验证详情", [
        'data' => $data,
        'computed_sign' => $this->URLSafeBase64Encode(hash_hmac('sha1', $data, env('QINIU_SK'), true)),
        'received_sign' => $auth[1],
    ]);

    return $re;
}

用户提到的问题是，计算出的 computed_sign 始终与七牛云传来的签名不一致，并且前端没有发送请求体，导致后端获取到的 php://input 为空。

解决方法

为了解决这个问题，修改后的代码应该考虑以下几点：

1. 检查请求体的完整性：确保从 php://input 读取到的数据是正确的，如果没有请求体，则应该处理这种情况。
2. URI 的完整性：确保获取的是完整的 URI，包括查询字符串。
3. 详细的调试信息：增加调试信息的输出，以便更容易定位问题。

下面是根据这些考虑点修改后的代码：

public function verifyCallbackSignature(Request $request): bool
{
    $authstr = $request->header('Authorization');
    if (empty($authstr) || strpos($authstr, "QBox ") !== 0) {
        \support\Log::debug("签名验证失败-头部格式错误", [
            'sign_content' => 'qianmingshibai',
            'authstr' => $authstr,
        ]);
        return false;
    }

    $auth = explode(":", substr($authstr, 5));
    if (count($auth) !== 2 || $auth[0] !== env('QINIU_AK')) {
        \support\Log::debug("签名验证失败-AK不匹配", [
            'sign_content' => 'zhanghuAkshibai',
            'auth_count' => count($auth),
            'auth_ak' => $auth[0],
            'expected_ak' => env('QINIU_AK'),
        ]);
        return false;
    }

    // 获取 URI 和请求体
    $uri = $request->uri();
    if (!empty($_SERVER['QUERY_STRING'])) {
        $uri .= '?' . $_SERVER['QUERY_STRING'];
    }
    $body = file_get_contents('php://input');
    $data = $uri . "\n" . $body;

    // 计算签名
    $computed_sign = $this->URLSafeBase64Encode(hash_hmac('sha1', $data, env('QINIU_SK'), true));

    // 记录调试信息
    \support\Log::debug("签名验证详情", [
        'uri' => $uri,
        'body' => $body,
        'data' => $data,
        'computed_sign' => $computed_sign,
        'received_sign' => $auth[1],
        'secret_key' => substr(env('QINIU_SK'), 0, 4) . '****',
    ]);

    return $computed_sign === $auth[1];
}

public function URLSafeBase64Encode($data): string
{
    return str_replace([' ', '/'], ['-', '_'], base64_encode($data));
}

这个修改后的版本增加了对 URI 查询字符串的处理，并确保在计算签名时考虑到了请求体的内容，即使请求体可能为空。同时，详细的调试信息也增加了，以便于更快地诊断和解决问题。

通过这些调整，开发者应该能够更好地处理七牛云的回调签名验证问题，确保应用的安全性和正确性。

以上就是《七牛云回调签名验证不一致的解决方案》的详细内容，更多关于的资料请关注golang学习网公众号！