我尝试为羽毛实现WooCommerce网络钩子功能。要对请求进行身份验证,我需要像这样验证原始请求正文的签名
const isSignatureValid = (
secret: string,
body: any,
signature?: string
): boolean => {
const signatureComputed = crypto
.createHmac("SHA256", secret)
.update(new Buffer(JSON.stringify(body), "utf8"))
.digest("base64");
return signatureComputed === signature ? true : false;
};
目前我的签名从未验证过。我的猜测是,这是因为req.body不是请求的原始主体,而是一些已经解析的版本,并添加了一些羽化的好处。
问题是:如何在标准羽毛应用(使用羽毛 cli 创建(中获取原始请求正文?
不确定这是否是最惯用的方法,但我想出了以下内容:
在主 app.ts 文件中的 express.json(( 中,可以将原始的、未解析的主体添加到 req 对象中。这很方便,至于一些 webhook(woocommerce、stripe(,你只需要原始正文来验证签名,否则使用解析后的 JSON。
export interface IRequestRawBody extends http.IncomingMessage {
rawBody: Buffer;
}
app.use(
express.json({
verify: (req: IRequestRawBody, res, buf) => {
const rawEndpoints: string[] = ["/wc-webhook"];
if (req.url && rawEndpoints.includes(req.url)) {
req.rawBody = buf;
}
}
})
);
// Initialize our service with any options it requires
app.use('/country', function (req, res, next) {
console.log(req);
next();
}, new Country(options, app)
);
我们可以在服务类的快速中间件中获取如上所述的请求正文。
这是 @florian-norbert-bepunkt 原始答案的扩展,因为对我来说它不是开箱即用的......我还需要一个字符串版本的正文来计算安全哈希。
app.use(express.json({
verify: (req, res, buf) => {
const rawEndpoints = ["/someAPI"];
if (req.url && rawEndpoints.includes(req.url)) {
req.feathers = {dataRawBuffer: buf};
}
}
}));
之后,您可以从上下文中访问原始缓冲区
context.params.dataRawBuffer
我可以确认这适用于feathersJS v4,也许这会帮助某人。