使用 PHP 验证 Mandrill Webhook

Posted 2023-02-25

【中文标题】使用 PHP 验证 Mandrill Webhook

【英文标题】：Authenticating Mandrill Webhook with PHP

【发布时间】：2016-04-21 05:58:32

【问题描述】：

我正在使用 Mandrill 通过 php 发送电子邮件。我已经注册了一个 webhook，所以我可以处理我的应用程序和 Mandrill 中的任何硬反弹。我遇到的困难是生成 X-Mandrill-Signature 标头来验证请求。

Mandrill 有关于如何做到这一点的文档here，但我没能把它做好。

这是从 Mandrill 发给我的POST 参数：

mandrill_events: ["type":"whitelist","action":"add","entry":"email":"example.webhook@mandrillapp.com","detail":"example details","created_at":"2014-01-15 12:03:19","ts":1452869880,"type":"whitelist","action":"remove","entry":"email":"example.webhook@mandrillapp.com","detail":"example details","created_at":"2014-01-15 12:03:19","ts":1452869880]

我正在使用json_decode(stripslashes($_POST['mandrill_events']), true) 将参数解码为一个数组，然后按照帮助文章中的说明将该数组传递给函数：

function generateSignature($webhook_key, $url, $params) 
    $signed_data = $url;
    ksort($params);
    foreach ($params as $key => $value) 
        $signed_data .= $key;
        $signed_data .= $value;
    

    return base64_encode(hash_hmac('sha1', $signed_data, $webhook_key, true));

使用这个我结束了

"http://requestb.in/ylyl00yl0Array1Array"

为$signed_data。我尝试了很多递归迭代数组键和值的变体，但无济于事。

有人成功使用过 Mandrill 提供的例子吗？任何帮助将不胜感激。

谢谢！ 大卫

【参考方案1】：

您应该验证 Mandrill 发送的 POST 参数，而不是 JSON 事件，即generateSignature($key, $url, $_POST)

【讨论】：

嘿@george-steel，mandrill_events 数据是 Mandrill 发送的唯一 POST 参数。

当然，但在您的问题中，您似乎正在解码$_POST['mandrill_events'] 并将解码后的数组传递给generateSignature，而您应该验证$_POST 数组，即ksort($_POST); $signature = generateSignature($key, $url, $_POST); return $request->getHeader('X-Mandrill-Signature') === $signature;

啊，解决了。非常感谢乔治！仅供参考，在执行base64_encode 操作之前，我还必须在generateSignature 函数中使用stripslashes($signed_data)。

只是一个简短的说明，提到 WordPress (un) 有用地使用 wp_slash() 来削减 $_POST。修复是在需要 WordPress 文件或使用 wp_unslash() 之前备份 $_POST。

@DavidAshford 你能发布你完成的工作示例吗，我有时会遇到签名不匹配的问题，我认为你的stripslashes 可能是关键