使用 PHP 验证 Mandrill Webhook
Posted
技术标签:
【中文标题】使用 PHP 验证 Mandrill Webhook【英文标题】:Authenticating Mandrill Webhook with PHP 【发布时间】:2016-04-21 05:58:32 【问题描述】:我正在使用 Mandrill 通过 php 发送电子邮件。我已经注册了一个 webhook,所以我可以处理我的应用程序和 Mandrill 中的任何硬反弹。我遇到的困难是生成 X-Mandrill-Signature
标头来验证请求。
Mandrill 有关于如何做到这一点的文档here,但我没能把它做好。
这是从 Mandrill 发给我的POST
参数:
mandrill_events: ["type":"whitelist","action":"add","entry":"email":"example.webhook@mandrillapp.com","detail":"example details","created_at":"2014-01-15 12:03:19","ts":1452869880,"type":"whitelist","action":"remove","entry":"email":"example.webhook@mandrillapp.com","detail":"example details","created_at":"2014-01-15 12:03:19","ts":1452869880]
我正在使用json_decode(stripslashes($_POST['mandrill_events']), true)
将参数解码为一个数组,然后按照帮助文章中的说明将该数组传递给函数:
function generateSignature($webhook_key, $url, $params)
$signed_data = $url;
ksort($params);
foreach ($params as $key => $value)
$signed_data .= $key;
$signed_data .= $value;
return base64_encode(hash_hmac('sha1', $signed_data, $webhook_key, true));
使用这个我结束了
"http://requestb.in/ylyl00yl0Array1Array"
为$signed_data
。我尝试了很多递归迭代数组键和值的变体,但无济于事。
有人成功使用过 Mandrill 提供的例子吗?任何帮助将不胜感激。
谢谢! 大卫
【问题讨论】:
【参考方案1】:您应该验证 Mandrill 发送的 POST 参数,而不是 JSON 事件,即generateSignature($key, $url, $_POST)
【讨论】:
嘿@george-steel,mandrill_events
数据是 Mandrill 发送的唯一 POST
参数。
当然,但在您的问题中,您似乎正在解码$_POST['mandrill_events']
并将解码后的数组传递给generateSignature
,而您应该验证$_POST
数组,即ksort($_POST); $signature = generateSignature($key, $url, $_POST); return $request->getHeader('X-Mandrill-Signature') === $signature;
啊,解决了。非常感谢乔治!仅供参考,在执行base64_encode
操作之前,我还必须在generateSignature
函数中使用stripslashes($signed_data)
。
只是一个简短的说明,提到 WordPress (un) 有用地使用 wp_slash() 来削减 $_POST。修复是在需要 WordPress 文件或使用 wp_unslash() 之前备份 $_POST。
@DavidAshford 你能发布你完成的工作示例吗,我有时会遇到签名不匹配的问题,我认为你的stripslashes 可能是关键以上是关于使用 PHP 验证 Mandrill Webhook的主要内容,如果未能解决你的问题,请参考以下文章
在 .NET 中验证 Mandrill 入站 Webhook 请求
Loopback 使用 lb-mandrill-connector 验证用户:未捕获的 AssertionError:应定义模板名称