api - 带有 SHA512-hmac 签名的 REST 请求正文的 Coldfusion CFHTTP-6ren

api - 带有 SHA512-hmac 签名的 REST 请求正文的 Coldfusion CFHTTP

转载作者：行者123 更新时间：2023-12-03 22:43:52

30

4

我正在尝试向 bitfloor.com 上的交易 API 发出签名请求(这是一个 REST API)

Bitfloor 给了我:

1) API key (即 6bd2b780-00be-11e2-bde3-2837371c3c3a)

2) key (即 oaFz62YpmbWiXwseMUSod53D8pOjdyVcweNYdiab/TSQqxk6IuemDvimNaQoA==)

以下是 Bitfloor 发出请求的确切说明:

请求必须是端口 443 (https) 上的 HTTPS POST 请求。每个请求都必须包含所需的 header (如下所列)。 header 识别、验证和验证您的请求以防止篡改。
标题

bitfloor-key 这是由 bitfloor 提供的，用于唯一标识您的帐户。 (即 6bd2b780-00be-11e2-bde3-2837371c3c3a)

bitfloor-sign sign 字段是使用与您的 api key 相对应的 key 的请求正文的 sha512-hmac。

签署您的请求:base64 将 key 解码为原始字节(64 字节)。将这些字节用于 http 请求正文的 sha512-hmac 签名。 Base64 对签名结果进行编码并在此 header 字段中发送。

bitfloor-密码您在创建此 API key 时指定的密码。如果忘记，我们将无法恢复您的密码。您将需要创建一个新的 API key 。

bitfloor 版本 您感兴趣的资源的 api 版本。当前唯一有效值是 1

经过整整八小时的反复试验并反复在互联网上搜索任何类型的见解或信息，以下代码尽可能接近我认为可能在如何正确构建请求的方向上的某处，唉，无论我尝试什么，我都会得到他们的 API 返回的“无效签名”。

这是我到目前为止...

首先，我在网上找到了有人写的做 SHA512 签名的这个函数:

<cffunction name="HMAC_SHA512" returntype="binary" access="public" output="false">
    <cfargument name="signKey" type="string" required="true">
    <cfargument name="signMessage" type="string" required="true">

    <cfset var jMsg = JavaCast("string",arguments.signMessage).getBytes("iso-8859-1")>
    <cfset var jKey = JavaCast("string",arguments.signKey).getBytes("iso-8859-1")>
    <cfset var key  = createObject("java","javax.crypto.spec.SecretKeySpec")>
    <cfset var mac  = createObject("java","javax.crypto.Mac")>
    <cfset key  = key.init(jKey,"HmacSHA512")>
    <cfset mac  = mac.getInstance(key.getAlgorithm())>
    <cfset mac.init(key)>
    <cfset mac.update(jMsg)>
    <cfreturn mac.doFinal()>
</cffunction>

我不知道它是做什么的，但它似乎可以工作并且没有错误。

这是我对这个函数的实现以及我提出请求的尝试:
注意:“nonce”值是必须与请求一起发送的必需参数。

<cffunction name="myorders">
    <cfset nonce        = dateDiff("s",createDateTime(2012,01,01,0,0,0),now())>
    <cfset requestbody  = "?nonce=#nonce#">
    <cfset key      = "oaFz62YpmbWiXwseMUSod53D8pOjdyVcweNYdiab/TSQqxk6IuemDvimNaQoA==">
    <cfset sign     = HMAC_SHA512(key,requestbody)>
    <cfset signed       = binaryEncode(sign,"Base64")>

    <!--- HTTP REQUEST --->
    <cfhttp url = "https://api.bitfloor.com/orders#requestbody#"
        method  = "post"
        result  = "bitfloor">

    <!--- HEADERS --->
    <cfhttpparam
        type    = "body"
        value   = requestbody>
    <cfhttpparam
        type    = "header"
        name    = "bitfloor-key"
        value   = "6bd2b780-00be-11e2-bde3-2837371c3c3a">
    <cfhttpparam
        type    = "header"
        name    = "bitfloor-sign"
        value   = signed>
    <cfhttpparam
        type    = "header"
        name    = "bitfloor-passphrase"
        value   = "mysecretpassphrase">
    <cfhttpparam
        type    = "header"
        name    = "bitfloor-version"
        value   = "1">
    </cfhttp>
</cffunction>

我认为我的大部分困惑来自不知道“请求主体”是什么。我觉得我可能没有签署正确的东西。

我希望有一个熟悉签名请求的 Coldfusion 程序员。我已经无计可施了。

请帮忙!合十礼

最佳答案

我没有使用过那个 api，但我进行了一些测试，它似乎可以通过以下调整工作:

自 secretKey值是 base64 编码的，您的签名功能需要使用 binaryDecode正确提取字节。使用 String.getBytes(...)产生完全不同(和错误)的结果。

预期的请求正文值只是:nonce=#nonceValue# (不带前导 "?")

似乎需要 Content-Type=application/x-www-form-urlencoded header ，否则解析内容失败，响应为:{"error":"no nonce specified"}

代码

 <cfset apiKey = "6bd2b780-00be-11e2-bde3-2837371c3c3a">
 <cfset secretKey = "oaFz62YpmbWiXwseMUSod53D8pOjdyVcweNYdiab/TSQqxk6IuemDvimNaQoA==">
 <cfset passphrase = "your secret phrase">

 <cfset requestBody  = "nonce="& now().getTime()>
 <cfset signBytes    = HMAC_SHA512(secretKey, requestbody)>
 <cfset signBase64   = binaryEncode(signBytes, "base64")>

 <cfhttp url="https://api.bitfloor.com/orders" method="post" port="443" result="bitfloor">
    <cfhttpparam type="header" name="Content-Type" value="application/x-www-form-urlencoded">
    <cfhttpparam type="header" name="bitfloor-key" value="#apiKey#">
    <cfhttpparam type="header" name="bitfloor-sign" value="#signBase64#">
    <cfhttpparam type="header" name="bitfloor-passphrase" value="#passphrase#">
    <cfhttpparam type="header" name="bitfloor-version" value="1">
    <cfhttpparam type="body" value="#requestBody#">
 </cfhttp>

 <cfdump var="#bitfloor#" label="Response">

<cffunction name="HMAC_SHA512" returntype="binary" access="public" output="false">
    <cfargument name="base64Key" type="string" required="true">
    <cfargument name="signMessage" type="string" required="true">
    <cfargument name="encoding" type="string" default="UTF-8">

     <cfset var messageBytes = JavaCast("string",arguments.signMessage).getBytes(arguments.encoding)>
     <cfset var keyBytes = binaryDecode(arguments.base64Key, "base64")>
     <cfset var key  = createObject("java","javax.crypto.spec.SecretKeySpec")>
     <cfset var mac  = createObject("java","javax.crypto.Mac")>
     <cfset key  = key.init(keyBytes,"HmacSHA512")>
     <cfset mac  = mac.getInstance(key.getAlgorithm())>
     <cfset mac.init(key)>
     <cfset mac.update(messageBytes)>

     <cfreturn mac.doFinal()>
</cffunction>

关于api - 带有 SHA512-hmac 签名的 REST 请求正文的 Coldfusion CFHTTP，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/12921362/

30

4

0

文章推荐： C# dot net core 单实例应用程序将参数传递给第一个实例

httpresponse - 休息轻松响应状态+正文
我在休息服务中有以下方法: @POST @Path("/create") @ResponseStatus(HttpStatus.CREATED) @Consumes(M
带有变量的 phpmailer 正文
这个问题不太可能对 future 的访客有帮助；它只与一个小的地理区域、一个特定的时刻或一个非常狭窄的情况相关，通常不适用于互联网的全局受众。如需帮助使这个问题更广泛地适用，visit the hel
javascript - 在外部单击时关闭弹出窗口(正文)
我有这样的弹出框: Speelland And here's some amazing content. It's very engaging. Right? Meer
javascript - 获取响应头/正文
我正在开发一个 firefox 插件，我正在收听这样的 http 响应: var observerService = Components.classes["@mozilla.org/observer
javascript - 知道为什么这段代码不起作用吗？正文 > *
我正在使用 jqtouch 制作一个移动网站。我还在网站中实现了图库图像 slider ，但是当图库放在我需要的位置时(在之间，图像不会显示。修补了几个小时后，删除了 display: none
CSS 正文 :after not displaying
为了在 iPad 上的 Safari 上显示视差效果，我采用了以下 CSS 规则: body:after { content: ""; position: fixed; top
VBA 在电子邮件正文中插入链接而不使用 HTML 正文？
我想在通过 excel VBA 创建的电子邮件正文中插入一个链接。链接每天都在变化，所以我把它的值放在单元格 B4 中。但是，我找不到正确的方法来发送带有该链接的电子邮件。这是我正在使用的代码: P
postman - 如何发送大型 JSON 正文？
我正在尝试使用具有非常大主体的 Postman 执行 POST 请求。只有一个 JSON 字段非常大，我想知道是否可以从 Postman 的文件中加载该字段？ { "field1": {
SoapUI 原始请求未显示 JSON 正文
这个问题是针对 SoapUI 5.2.1 社区版的: 我有一个包含变量的 JSON 主体的 POST 请求。我总是能够通过单击“原始”选项卡以查看请求进行或将发送到服务器来验证这些参数是否采用正确的
javascript - 文本到 Outlook 正文
我有这个按钮，单击该按钮会打开 Outlook，其中包含我提供的详细信息。我还有一个 TEXTAREA，其中包含某些文本。我正在寻找一种方法让此文本出现在我的 Outlook 正文中。这可以做到吗？请
azure - 多次读取 BrokeredMessage 正文
我知道错误消息是不言自明的，我们无法多次读取消息正文。这里我使用AOP(面向方面编程)来进行审计日志。 [AuditServiceMethod(AttributePriority = 0)] [F
Grails:如何使用命令对象验证由项目列表组成的 POST 正文？
我在 grails 3.3.3 中编写自定义验证器(命令)时遇到了一些问题。具体来说，我正在尝试验证其正文由项目列表组成的 POST 请求。这就是我所拥有的... 命令: class VoteComm
rest - 无法读取 json 正文
这个问题在这里已经有了答案: json.Marshal(struct) returns "{}" (3 个回答) JSON and dealing with unexported fields (3
javascript - 清理带有过多标签的电子邮件 HTML 正文
我想清理很多邮件的 HTML 正文，它们有点脏(取自 Gmail 发送的电子邮件):有很多嵌套，不需要的字体更改等我想清理它并只保留 , , , , , 仅此而已(可能还有或一些，
javascript - 如何旋转 Accordion 正文？
我正在使用 Accordion 功能在我的模块中添加端口详细信息。我只想在水平方向上显示正文内容。请看下面的 fiddle 。 html, body { background-color:#e
javascript - 正文 HTML 中的文本未被正确替换
我的 HTML 正文中有这个: loaded y&EACUTE;t. 使用 JavaScript 我有这个: $( document ).ready(function() { document.bod
javascript - 在谷歌图表中显示 json 正文
我对图表有很大的疑问。我试图在谷歌图表中显示一些 json 值，但我总是会出错。从 JSON 正文中，我只需要图表上个月的“全部购买”和“日期”。我见过的所有例子，他们已经有了一个静态的自定义 Jso
ios - 如何使用文本字段中的文本填充 textComposer 正文
我的应用程序的功能之一涉及用户填写三个单独的文本字段(预订名称、客人和日期)，然后使用文本编辑器通过短信发送这些字段中的文本。我无法将这些 View 中的文本放入正文中。这是我的代码: - (IBAc
javascript - 正文 onunload 事件
我正在开发一个 HTA，它应该对 onunload 事件进行一些最终修改。该事件似乎没有被触发。该事件是否仍受支持？是否有 IE 事件可以知道页面何时关闭？我检查了一下(JavaScript bo
html - 页眉、正文、页脚的多个背景图像
我正在尝试将以下图像添加为网站内容的背景: http://webbos.co/vibration/wp-content/themes/vibration-child-theme/images/back

首页

博学

6Ren·AI

商城

api - 带有 SHA512-hmac 签名的 REST 请求正文的 Coldfusion CFHTTP