验证Mandrill的X-Mandrill签名

Question

我正在开发一个Node.js应用程序，我正在努力验证Mandrill Webhook请求。

正如这里所说的，在http://help.mandrill.com/entries/23704122-Authenticating-webhook-requests中应该是这样的：

/**
 * Generates a base64-encoded signature for a Mandrill webhook request.
 * @param string $webhook_key the webhook's authentication key
 * @param string $url the webhook url
 * @param array $params the request's POST parameters
 */
function generateSignature($webhook_key, $url, $params) {
    $signed_data = $url;
    ksort($params);
    foreach ($params as $key => $value) {
        $signed_data .= $key;
        $signed_data .= $value;
    }

    return base64_encode(hash_hmac('sha1', $signed_data, $webhook_key, true));
}

所以我想出了这个：

var url = "http://....";
var post = "<POST Data>";
require('crypto').createHmac("SHA1", "<Webhook Signature Key>").update(url+post).digest("base64");

不幸的是，这不起作用。我得到了不同的签名。

POST数据经过urlencoded编码，例如：

mandrill_events=%5B%7B%22event%22%3A%22inbound ...

Urldecoded：

mandrill_events=[{"event":"inbound ...

Mandrill文档说，不应该包括分隔符，所以这是我使用的字符串(没有=)：

mandrill_events[{"event":"inbound ...

对此有什么想法吗？

PS:我仔细检查了URL和Webhook密钥:-)。

Answer 1

使用https://mandrillapp.com/settings/webhooks中为该特定Webhook显示的URL (在本例中为config.url)和密钥(config.key)。

除了上述响应之外，您还必须确保使用单个反斜杠对正斜杠进行转义。

// mandrillEventsParamVal - how you get that depends on your request processor chain
var paramValEscaped = mandrillEventsParamVal.replace(/\//g, '\\\/');
var input = config.url + 'mandrill_events' + paramValEscaped;
var check = crypto.createHmac('sha1', config.key).update(input, 'utf8', 'binary').digest('base64');

名为check的字符串是您根据标题“X-Mandrill Signature”检查的字符串。

Answer 2

问题来自于您的输入数据格式。您必须连接键/值对，例如：

var data = URL；for(POST_DATA中的var key ) data += key+POST_DATAkey；

现在可以检查base64(sha1(data，mkey))是否等于签名。