个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
26
4
我正在尝试保护我的 Zoho Webhook 实现。我关注了这个文档:https://www.zoho.com/subscriptions/kb/webhooks/securing-webhooks.html
我不太清楚该做什么,但我很确定最终我仍然按照他们所说的做了一切。
我没有任何查询参数。该格式只是默认的 JSON 负载,没有 X-WWW-FORM-URLENCODED。
我尝试使用以下代码,但没有得到正确的哈希值。还不清楚我是否应该对默认负载进行排序。根据this答案是,仅对于 form-url-encoded 和查询参数是必需的,但对于纯 JSON 负载则不需要处理。不管怎样,我尝试了两种方法,结果如下:
function computeZohoSignature(query, payload) {
return crypto
.createHmac('sha256', process.env.ZOHO_WEBHOOK_SECRET)
.update(JSON.stringify(payload), 'utf8')
.digest('hex');
}
function validSignature(signatureHash, computedHash) {
return signatureHash.length === computedHash.length
&& crypto.timingSafeEqual(Buffer.from(signatureHash), Buffer.from(computedHash));
}
我还尝试使用以下函数包装有效负载:
function sortObjectByKeys(object) {
if (!isObject(object)) return object;
const sortedObj = {};
Object
.keys(object)
.sort()
.forEach((k) => {
sortedObj[k] = sortObjectByKeys(object[k]);
});
return sortedObj;
}
排序工作正确,我什至尝试只对“根键”进行排序。无论我尝试什么,哈希值都不会相同。是的,我 100% 确定这个 secret 是正确的,我已经检查了三次。
有人看出这里出了什么问题或者有一个可行的 NodeJS 实现吗?
提前致谢!
最佳答案
典型的 Express 设置使用以下配置进行解析:
app.use(bodyParser.json());
此解析器会将请求正文的已解析(对象)内容添加到路由的第一个 req 参数的 body 属性中处理程序 (req, res) => { ... }.
但是,您的 Webhook 的哈希值是根据原始(字符串)负载计算的。虽然您可以使用 JSON.stringify 将解析后的正文转换回字符串,但这可能会导致与原始原始负载不一致。
例如,如果您的货币是欧元,Zoho 将传递编码的“\u20a”作为currency_symbol的值。但是,如果您使用 JSON.stringify 将解析后的正文转换回字符串,您会发现它会生成未编码的 "€"。因为这会导致两个字符串不相同,所以它们不会产生相同的哈希值。
如果不直接访问原始正文,就很难准确检测原始原始正文与 JSON.stringify 结果之间的区别,以及如何将后者转换为它的格式与原始原始主体相同。克服这个问题的最简单方法是使用解析器的 verify 方法,将原始主体添加到例如。路由处理程序的第一个 req 参数的 rawBody 属性,如所述 in this article :
app.use(bodyParser.json({
verify: (req, res, buf) => {
req.rawBody = buf
}
}))
如果您将 req.rawBody 的值分配给 payload,则 computeZohoSignature 方法生成的哈希现在应该与传递的签名相对应通过 Zoho!
关于node.js - Zoho 订阅验证 Webhook 签名 NodeJS,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/60379101/
26
4
0
我想知道是否有任何方法可以为所有意图激活 webhook(除了一个一个激活它)。谢谢! 最佳答案 目前还没有这样的功能,但我遇到了类似的问题,这就是我解决它的方法: 下载所有意图的zip文件 写一个程
谁能在最基本的层面上解释一下 Incoming webhook、Outgoing webhook 和 O365 webhook 之间的区别 最佳答案 Webhooks 是一种轻型 HTTP 模式,用于
好吧,这可能 super 简单,但我只是没有足够的背景知识来确定: 如果我定义了一个 webhook 回调(例如,OpenAPI 中的回调):我可以从常规网页使用该回调吗? 我会假设是的,否则有什么意
我正在尝试设置 Grafana 以将 webhook 发送到 Microsoft Teams。我可以通过终端 curl 到地址,但不能通过 Grafanas 界面。 我将 URL 添加到 Grafan
我正在玩Paypal REST(php)环境,我喜欢玩沙盒webhooks。 是否可以将Paypal沙箱Webhooks与本地设置一起使用? http://localhost/test 是无效的网址
使用 slack webhooks,我可以使用消息中的简码发送表情符号: curl -X POST --data-urlencode "payload={\"channel\": \"#my_noti
我们想将Slack Webhook(传出Webhook)与内部Web服务一起使用。 我们公司位于防火墙后面,因此必须将外部连接列入白名单。 Slack似乎有多个地址,它将从中发送API请求,并且似乎没
我们目前正在实现 Mailgun 的 Webhook,以将电子邮件回复转换为应用程序中评论线程中的回复。我们设置一条路由来匹配收件人,并将操作设置为 store(notify="https://exa
我可以通过应用程序脚本通过 webhook 将消息发送到聊天室,但是我如何发送回复该消息。这是一种单向聊天。我如何才能通过 webhook 将其作为对话流. 最佳答案 您可以提供一个threadKey
我正在尝试注册一个 evernote webhook。但似乎注册表不起作用。 Evernote webhook 注册表格: 我填写了表格,点击“提交”,但总是得到以下错误响应: {"error":"R
我可以通过应用程序脚本通过 webhook 将消息发送到聊天室,但是我如何发送回复该消息。这是一种单向聊天。我如何才能通过 webhook 将其作为对话流. 最佳答案 您可以提供一个threadKey
我有一个订阅页面提要事件的 webhook。 我希望它告诉我何时在页面或用户管理的页面上创建了公共(public)事件。 应用仪表板告诉我这是将发送给我的 JSON 对象: { "field": "
当我在 google 项目和 API.AI 代理上创建操作时,我使用自己的服务作为 API.AI 实现 webhook。我希望 API.AI 会调用我的 webhook。但是当我通过谷歌上的 Acti
我正在按照本教程在 App Inventor 中发送电子邮件:https://www.hackster.io/taifun/trigger-ifttt-to-send-an-email-using-a
我正在尝试将消息发布到松弛团队中的任何 channel 。 我的 webhook 已正确创建并安装到我的测试团队中。作为安装过程的一部分,我选择了“发布到#channel1” 当我查看权限时,我看到我
我快速浏览了与 Bluesnap webhooks 相关的 IPN 类型和参数 - https://support.bluesnap.com/v2.2.7/docs/ipn-parameter-ref
我有一个 HTML 表格,我正在尝试通过 webhook 将其发布到 Slack。 有没有办法将 HTML 表格发布到 Slack? 这是 HTML 代码: HTML Tabl
我在我的 Slack 工作区中创建了一个传入 Webhook。我正在使用第三方工具将 JSON 对象发布到 Hook url。我想向@user_1 发送通知 我的问题是通知发送到我和该用户@user_
我正在开发一个与 Trello 紧密集成的应用程序,并使用 Trello webhooks 做很多事情。但是,我在 Trello 的开发人员文档中找不到任何地方可能触发 webhook 的“操作”是什
当我创建这篇文章时,我只是在stackoverflow上找到了没有任何回复的帖子...... TelegramBot. "Webhook can be set up only on ports 80,
我是一名优秀的程序员,十分优秀!