Shopify 在 Scala 中验证 webhook 调用

Posted

技术标签:

【中文标题】Shopify 在 Scala 中验证 webhook 调用【英文标题】:Shopify verify webhook call in Scala 【发布时间】:2013-08-25 02:40:30 【问题描述】:

我正在为 Shopify webhook 实现一个简单的 web 服务,以便使用 Play2 进行调用。我想使用包含的“X-Shopify-Hmac-Sha256”标头参数验证呼叫是否来自 Shopify。

Shopify 文档仅包含 Ruby 和 php 示例,我认为翻译起来并不难。好吧,我似乎在挣扎。

这是我的简单 Scala shopify util 对象:

    import play.api.mvc.Request
    import play.api.mvc.AnyContent
    import javax.crypto.Mac
    import javax.crypto.spec.SecretKeySpec
    import play.api.Logger
    import javax.crypto.SecretKey
    import org.apache.commons.codec.binary.Base64

    object ShopifyUtils 
        def verifyWebhookCall(request : Request[AnyContent], secretKey: String) : Boolean = 

          if (!request.headers.get("X-Shopify-Hmac-Sha256").isDefined)
              false
          else
          
            val headerHash = request.headers.get("X-Shopify-Hmac-Sha256").getOrElse("")
            val body = request.body.asJson.get.toString

            Logger.info("json '" + request.body.asJson.get.toString + "' = " + encode(secretKey, request.body.asJson.get.toString) );
            Logger.info("body '" + request.body.toString() + "' = " + encode(secretKey, request.body.toString) )

            Logger.info("headerHash " + headerHash);

            val calcHash = encode(secretKey, body)
            headerHash.equals(calcHash)
          
        

        def encode(key: String , data: String): String = 
          val sha256_HMAC = Mac.getInstance("HmacSHA256");
          val secret_key = new SecretKeySpec(key.getBytes(), "HmacSHA256");
          sha256_HMAC.init(secret_key);

          return new String( Base64.encodeBase64( sha256_HMAC.doFinal( data.getBytes ) ) ).trim
        
    

我生成的哈希值与 Shopify 发送的哈希值不同。

要么我的共享密钥有误(我看不出它是怎么回事),要么我没有像 Shopify 那样散列相同的内容(我尝试了各种request.body 输出格式)。

感谢您收到任何提示/指南/建议。

提姆

【问题讨论】:

【参考方案1】:

只需阅读原始 POST 正文并运行验证您的签名。通过将正文作为 JSON 抓取并将其转换为字符串,您可能会巧妙地操纵我们发送给您的响应。

以下是我在一些使用 webhook(在 ruby​​ 中)的项目中的做法:

class WebhookVerifier
  attr_accessor :expected_hmac, :data
  def initialize(options = )
    @expected_hmac = options.fetch(:expected_hmac, '')
    content = options.fetch(:content, StringIO.new)
    content.rewind
    @data = content.read
  end    

  def valid?
    digest = OpenSSL::Digest::Digest.new('sha256')
    calculated_hmac = Base64.encode64(OpenSSL::HMAC.digest(digest, ShopifyApp.configuration.secret, data)).strip
    calculated_hmac == expected_hmac
  end
end

【讨论】:

感谢 csaunders。是的,你是对的,我没有得到原始请求正文,而是它的预解析版本。【参考方案2】:

感谢 csaunders 为我指明了正确的方向。

我使用的是默认 BodyParser AnyContent,当请求的 Content-type 指定“application/json”时,它会将响应正文隐式转换为 json。

我必须修改我的控制器对象以指定“原始”BodyParser:

    import play.api._
    import play.api.libs.iteratee.Enumerator
    import play.api.mvc.SimpleResult
    import play.api.mvc.ResponseHeader
    import play.api.libs.json._
    import play.Application
    import play.api.mvc._

    import javax.crypto.Mac
    import javax.crypto.spec.SecretKeySpec
    import play.api.Logger
    import javax.crypto.SecretKey
    import org.apache.commons.codec.binary.Base64

    object Purchase extends Controller  

      val shopifyAppSecretKey = "11111111111111111111111111111111"

      def processPurchase() = Action( parse.raw ) request =>

        val bodyRaw = request.body.asBytes(3000).getOrElse(Array[Byte]())
        val calculatedHash = encodeByteArray(shopifyAppSecretKey, bodyRaw)
        val shopifyHash = request.headers.get("X-Shopify-Hmac-Sha256").getOrElse("")

        Logger.info("keys '" + shopifyHash + "' || '" + calculatedHash + "' " + calculatedHash.equals(shopifyHash))

        val json: JsValue = Json.parse( new String(bodyRaw) )

        Ok( "Ok" ).as(html)
      

      def encodeByteArray(key: String , data: Array[Byte]): String = 
        val sha256_HMAC = Mac.getInstance("HmacSHA256");
        val secret_key = new SecretKeySpec(key.getBytes(), "HmacSHA256");
        sha256_HMAC.init(secret_key);

        return new String( Base64.encodeBase64( sha256_HMAC.doFinal( data ) ) ).trim
      
    

使用“原始”BodyParser 意味着您必须自己将字节数组转换为字符串,然后手动解析该字符串以获取您的 json,但这没有真正的问题。

现在一切都按预期进行。

谢谢,

提姆

【讨论】:

【参考方案3】:

如果您为特定事件创建了 shopify webhook。 这里我为customers/update创建了一个webhook事件

def ShopifyCustomerUpdateController = Action.async 
implicit request =>
  println("data=============>  "+request.body.asJson.get)
  Future(Ok(""))  

【讨论】:

以上是关于Shopify 在 Scala 中验证 webhook 调用的主要内容,如果未能解决你的问题,请参考以下文章

如何在 VS Code 中验证 Shopify Liquid 模板中的 JSON?

请求来源无法验证 - Shopify

shopify hmac验证php

python 用于Shopify Webhook的HMAC验证的Python视图装饰器。

通过 Spring 框架连接 Shopify API

在Scala中免费验证