facebook - 从 Facebook 验证 X-Hub-Signature-6ren

facebook - 从 Facebook 验证 X-Hub-Signature

转载作者：行者123 更新时间：2023-11-30 05:24:16

37

4

我是 Play Framework(在本例中为 2.5 和 Scala)的初学者 - 我正在尝试通过为 Facebook Messenger 构建一个机器人来学习。但是，我在尝试验证消息签名时遇到了困难。

我已经按照 Facebook 文档创建了一个 webhook。它使用 getRawMessages 处理 POST 请求(参见下面的代码)。然后尝试使用 verifyPayload 函数验证请求是否由 Facebook 签名。但是，我似乎无法让计算出的哈希值和实际哈希值相匹配。

我已经率先研究了这个问题:How to verify Instagram real-time API x-hub-signature in Java?这似乎做了很多我想做的，但对于 Instagram 等价物。但我似乎还是做对了。

val secret = "<facebooks secret token>"  

def getRawMessages = Action (parse.raw) {
    request =>

      val xHubSignatureOption = request.headers.get("X-Hub-Signature")

      try {
        for {
          signature <- xHubSignatureOption
          rawBodyAsBytes <- request.body.asBytes()
        } yield {
          val rawBody = rawBodyAsBytes.toArray[Byte]
          val incomingHash = signature.split("=").last
          val verified = verifyPayload(rawBody, secret, incomingHash)
          Logger.info(s"Was verified? $verified")
        }
        Ok("Test")
      }
      catch {
        case _ => Ok("Test")
      }
  }

  val HMAC_SHA1_ALGORITHM = "HmacSHA1"

  def verifyPayload(payloadBytes: Array[Byte], secret: String, expected: String): Boolean =  {

    val secretKeySpec = new SecretKeySpec(secret.getBytes(StandardCharsets.UTF_8), HMAC_SHA1_ALGORITHM)
    val mac = Mac.getInstance(HMAC_SHA1_ALGORITHM)
    mac.init(secretKeySpec)
    val result = mac.doFinal(payloadBytes)

    val computedHash = Hex.encodeHex(result).mkString
    Logger.info(s"Computed hash: $computedHash")

    computedHash == expected
  }

Facebook webhook docs状态:

The HTTP request will contain an X-Hub-Signature header which contains the SHA1 signature of the request payload, using the app secret as the key, and prefixed with sha1=. Your callback endpoint can verify this signature to validate the integrity and origin of the payload

Please note that the calculation is made on the escaped unicode version of the payload, with lower case hex digits. If you just calculate against the decoded bytes, you will end up with a different signature. For example, the string äöå should be escaped to \u00e4\u00f6\u00e5.

我猜我缺少的是将有效负载正确转义为 unicode，但我似乎无法找到一种方法来做到这一点。引用问题中的答案似乎也只是获取字节数组，而没有对其进行任何其他操作 (jsonRawBytes = jsonRaw.asBytes();)。

任何有关如何进行的帮助将不胜感激。

最佳答案

原来我一直在使用错误的 secret 。如果其他人犯了同样的错误，请注意它是您想要的应用程序仪表板上可用的“App Secret”。请参见下面的屏幕截图。

关于facebook - 从 Facebook 验证 X-Hub-Signature，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/37332858/

37

4

0

文章推荐： c++ - QT服务器端写函数有错误(在线程0中停止...)

文章推荐： java - spring boot zuul错误的请求重定向

facebook - Facebook 应用程序页面和 Facebook 页面之间的区别
我为我们的业务创建了一个 Facebook 页面，我创建了一个 Facebook 应用程序来获取 AppID，以便在 Facebook 插件中使用它。我注意到 Facebook 应用程序的页面看起来
facebook - 是否有可能知道哪个 facebook 用户点击了在 facebook 上共享的链接
是否有可能知道哪个 Facebook 用户点击了我的应用用户在 Facebook 上分享的链接？为了清楚起见，让我改写一下:我想知道我的应用用户的哪些 friend 点击了他的共享链接。感谢任何提
facebook - Facebook Pixel 如何知道哪个转化来自哪个 Facebook 广告？
我正在浏览 facebook pixel，对 facebook pixel 如何知道哪个转化来自哪个 facebook 广告感到很困惑？假设我有这个 url http://example.com安装
facebook - 在 Facebook 上分享链接。 Facebook 不获取描述和图像
我正在开发 sucsongmoi.net(越南语)，当浏览者从他们的墙上分享网站链接时，一些链接 facebook 获得描述和图像，一些链接 facebook 无法获得描述和图像。例如:分享 suc
facebook - 我可以将用户从个人 Facebook 页面无缝重定向到企业 Facebook 页面吗？
一位同事错误地设置了个人 Facebook 页面；它应该是一个企业 Facebook 页面。个人页面上有几个 friend 需要重定向到正确的 Facebook 业务页面。我可以将用户从错误的个人
facebook - 如何在我自己的 Facebook 应用程序中重复使用 Facebook 的电影自动完成功能？
在 Facebook 上，当您转到“编辑我的个人资料”>“艺术和娱乐”时，会有一个“电影”自动完成小部件，它会在您输入电影时推荐电影。因此，如果您输入“Jones”，它将开始建议: 印第安纳琼斯布
facebook - 使用 Facebook 登录时点赞 Facebook 页面
我在我的网页上使用 Facebook 登录。首次登录时，Facebook 登录应用程序会请求获取用户数据的权限。有什么方法可以改善这个问题，以请求喜欢我的 Facebook 页面的许可？用户点击后，
facebook - 我可以将现有的 Facebook 页面链接到 Facebook 应用程序吗
我需要知道是否可以将现有的 Facebook 页面(类别:应用程序页面)链接到 Facebook 应用程序？当我进入 Facebook 应用程序设置时，他们建议创建一个新页面。但我需要的只是链接到现有
Facebook 帐户取消链接或取消授权 Facebook 应用程序并检查 Facebook 应用程序的链接状态
我的网站应用程序具有通过 Facebook 登录进行登录的功能。为此，我的应用程序出现在 Facebook 上。使用 Facebook 登录工作正常。但应用程序具有将 Facebook 帐户链接和取
facebook - 从 Facebook 应用程序向用户的 Facebook 好友发送消息
我正在制作一个应用程序，让人们可以在 Facebook 上与特定的 friend 分享内容。示例:Alice 使用我的应用程序，她与 Bob 分享了一篇文章，Bob 是她的 Facebook 好友。现
facebook - 如何使用 Module.Facebook 和钛合金登录 Facebook
我正在按照列出的说明进行操作 http://docs.appcelerator.com/platform/latest/#!/api/Modules.Facebook 并查看 Arrow 示例目录中的
facebook - 在 Facebook 主站点之外创建 Facebook 事件
假设我有一个餐厅的商业网站，一位顾客为一大群人预订了一张 table 。有没有一种方法可以让客户有机会在餐厅网站上创建 Facebook 事件，作为预订流程的一部分。我知道客户必须以某种方式从餐厅网站
facebook - 我可以仅使用 Facebook 签名请求安全地验证 Facebook 用户吗？
我想让我的用户将他们的用户帐户与 Facebook 或 Twitter 相关联，并允许他们使用他们的 Facebook/Twitter 帐户登录我的服务器，而不是使用传统的用户名/密码。与StackO
facebook - 如何在 Facebook 页面中使用 Facebook 评论插件
我们有一个面子书页面。我们添加了一个自定义 FBML 选项卡。现在我们要添加评论面子书插件。我尝试添加一个脚本，我从 Face book Social Plug in .代码是之后我将此脚本放入自
facebook - "FaceBook Login"与 "FaceBook Connect"
大家好请帮我找到关于以下的官方信息: 1) 什么是“FaceBook 登录” 2) 什么是“FaceBook Connect” 谢谢最佳答案你可以在那里找到你需要的一切: http://deve
facebook - Http_referrer 显示 Facebook 但我不在 Facebook
这是最奇怪的事情。我有非常简单的 CF 代码，查看 cgi.HTTP_REFERER。简单地说，它查看推荐人。如果链接是从我们的主要网站域之外单击的，它会显示一些内容。否则，什么也不会发生。所以，如果
facebook - 如何在没有用户 facebook 授权的情况下进行 Facebook 地方搜索
我还是 Facebook Graph API 的新手，正在尝试开始使用 Facebook 地点搜索。 (按位置搜索地点) https://graph.facebook.com/search?type=
facebook - 在没有 Facebook 帐户的情况下开发 Facebook API
我不想开设 Facebook 帐户，但我被要求为需要使用 Facebook API 的应用程序开发功能。有没有一种方法可以开发这些功能并使用 Facebook API，而无需开设个人 Facebook
facebook - DotNetOpenAuth - Facebook - 如何在不强制用户安装 Facebook 应用程序的情况下对用户进行身份验证？
我已经按照指示实现了 DotNetOpenAuth 提供的示例应用程序 here . 正如您在下面看到的，这要求用户安装此 facebook 应用程序。我只是想让用户使用他们的 Facebook 登
facebook - 单击 Facebook 登录按钮后重定向，即使已经登录 Facebook
我的主页上有标准的 Facebook 登录按钮，我不希望人们仅在用户单击登录按钮时使用他们的 Facebook 帐户自动登录我的网站。如果用户未登录 Facebook，将出现一个弹出窗口询问他的凭据

首页

博学

6Ren·AI

商城

facebook - 从 Facebook 验证 X-Hub-Signature