我们需要从php-laravel后端调用第三方api。为了调用该api,我们需要以签名的形式发送一些数据以进行授权。对于签名过程,我们提供了以下抽象方法
signature = base64(hmacSHA256(utf8EncodingOf(partnerSecret), utf8EncodingOf(stringToSign)))
他们还提供了一个邮差集合来测试api。在调查这些藏品时,我们偶然发现了";请求前脚本";正在使用CryptoJS库进行签名生成。
主要问题出现在签名过程的开始,在此之前,所有输出都是相同的。
考虑下面的带有CryptoJS的JS代码。
let stringToSign = 'aReallyLongStringNeededToBeSigned';
let secret = 'thisIsVerySecret';
stringToSign = CryptoJS.enc.Utf8.parse(stringToSign);
let key = CryptoJS.enc.Utf8.parse(secret);
console.log('after encode stringToSign => '+stringToSign);
console.log('after encode key => '+key);
let hash = CryptoJS.HmacSHA256(stringToSign, key);
let signature = ''+CryptoJS.enc.Base64.stringify(hash);
console.log('generated hash => '+hash);
console.log('generated signature => '+signature);
给出以下输出:
after encode stringToSign => 615265616c6c794c6f6e67537472696e674e6565646564546f42655369676e6564
after encode key => 74686973497356657279536563726574
generated hash => 703e481c7e9a0409a0a78853679e15d34f7ce8972b8d9678471cd0d98f4e61cf
generated signature => cD5IHH6aBAmgp4hTZ54V00986JcrjZZ4RxzQ2Y9OYc8=
现在考虑以下类似工作的PHP代码:
$stringToSign = 'aReallyLongStringNeededToBeSigned';
$secret = 'thisIsVerySecret';
$stringToSign = utf8_encode($stringToSign);
$key = utf8_encode($secret);
Log::info('after encode stringToSign => '.$stringToSign);
Log::info('after encode key => '.$key);
$hash = hash_hmac('sha256', $stringToSign, $key, true);
$signature = base64_encode($hash);
Log::info('generated hash => '.$hash);
Log::info('generated signature => '.$signature);
在PHP中,它给出以下输出。
after encode stringToSign => aReallyLongStringNeededToBeSigned
after encode key => thisIsVerySecret
generated hash => p>H~� ���Sg��O|�+��xG�ُNa�
generated signature => cD5IHH6aBAmgp4hTZ54V00986JcrjZZ4RxzQ2Y9OYc8=
之后的输出不同。它从utf8编码方法开始。我们还尝试查看php的hmacSha256,其编码输出由CryptoJS生成,如下所示。
$hash = hash_hmac('sha256', "615265616c6c794c6f6e67537472696e674e6565646564546f42655369676e6564",
"74686973497356657279536563726574", true);
最后一个值在true和false之间调整后,输出如下。
generated hash => (,F=�V�կ��w}��@��j6�z�VP�S // true
generated hash => 281e2c465c3dbd56b1d5af84ea777d92e34095e16a0f360ee87a7fa156509f53 // false
我们肯定错过了什么。所以问题是:
- 为什么相同哈希算法的输出不同(特别是hmacSha256(
- PHP有哪些函数可以获得与CryptoJS类似的结果
请分享您的宝贵发现。提前感谢。。。。。
注意:我们已经看到了以下内容。但这些并不能帮助我们的情况获得所需的产出。
- 匹配PHP和CryptoJS输出
- 为什么HMAC sha256在PHP上返回不同的值&Javascript
您将PHP脚本存储在什么字符编码中?如果已经是UTF-8,那么不应该将utf8_encode应用于输入值,因为那样会使编码"加倍"。
如果您的脚本已经以UTF-8编码保存,则
base64_encode(hash_hmac('sha256', 'aReallyLongStringNeededToBeSigned', 'thisIsVerySecret', true));
得到cD5IHH6aBAmgp4hTZ54V00986JcrjZZ4RxzQ2Y9OYc8=,这正是你想要的结果。
由于我刚刚完成了以下内容:这相当于php hash_hmac('SHA256','',''(;
CryptoJS.HmacSHA256('消息应该是字符串','密钥'(.toString(CryptoJS.enc.Hex(;