Полоса проверки подписи веб-крючка HMAC sha254 HAPI.js
Я пытаюсь проверить веб-перехватчик, отправленный полосой, в моем приложении hapi.js. Я выполнил инструкции, подробно описанные здесь:
https://stripe.com/docs/webhooks/signatures
(Я явно не публиковал здесь свой секрет конечной точки :)
<!-- language: lang-js -->
const enpointSecret = ######;
const sig = _.fromPairs(request.headers["stripe-signature"].split(',')
.map(s => s.split('=')));
// produces object eg { t: '1111', v1: '111111..', v0: '...'} etc
const signed_payload = `${sig.t}.${JSON.stringify(request.payload)}`;
const hmac = crypto.createHmac('sha256', endpointSecret)
.update(signed_payload)
.digest('hex');
Сгенерированный hmac НЕ соответствует подписи в заголовке (sig.v1). Я не могу понять, что делаю не так ...
Я разрабатываю локально и использую ngrok, чтобы проверить свои веб-перехватчики. Может ли это быть проблемой? Спасибо
Подробнее здесь
Спасибо. Я попробовал узел полосы - но он не сработал ... пытаюсь выяснить, как я могу получить необработанную полезную нагрузку в hapi ... настройка options.payload.parse = false ничего не делает ...
Ответы 1
В Хапи 17, Следуя комментариям - в Hapi 17 вы должны запретить анализ тела. Я танцевал по домам, настраивая вывод конфигурации полезной нагрузки ... но вам не нужно этого делать. Просто установите для payload.parse значение false
<!-- language: lang-js -->
module.exports = {
method: 'POST',
path: '/api/webhook',
config: {
auth: false,
payload: {
parse: false // the important bit
},
handler: async (request, h) => {
Затем я смог использовать встроенный метод полос
<!-- language: lang-js -->
try {
let event = stripe.webhooks.constructEvent( request.payload.toString(), request.headers["stripe-signature"], endpointSecret);
console.info(event);
}
catch (err) {
console.info(err)
}
Настоящая заслуга должна быть отдана Карлу Рейду - поэтому, хотя я разместил это здесь, я не пометил его как принятый ответ.
Не беспокойтесь, вы должны принять это, так как это показывает людям, как получить тело запроса в формате, который Stripe требует с помощью hapi.
Сделаю - спасибо. Мне нужно подождать еще 15 часов, прежде чем это позволит мне.
JSON.stringifyизменит тело запроса. Вам нужно сгенерировать MAC для точного необработанного тела запроса, полученного от Stripe, иначе подпись не будет совпадать. Кроме того, почему бы просто не использовать полоса-узел?