MIGS在线支付SHA256 HMAC错误

Question

MIGS在线支付SHA256 HMAC错误

3

我被 Bendigo 银行告知需要将 md5 更改为 SHA256。我按照他们的指示操作，但出现了以下错误：

HTTP Status - 400
E5000: Cannot form a matching secure hash based on the merchant's request using either of the two merchant's secrets

他们的示例代码如下：

。

<?php foreach($_POST as $key => $value) {
    if (strlen($value) > 0) { ?>
            <input type="hidden" name="<?php echo($key); ?>" value="<?php echo($value); ?>"/><br>
    <?php           
        if ((strlen($value) > 0) && ((substr($key, 0,4)=="vpc_") || (substr($key,0,5) =="user_"))) {
            $hashinput .= $key . "=" . $value . "&";
        }
    }
}
$hashinput = rtrim($hashinput,"&");
?>
<!-- attach SecureHash -->
<input type="hidden" name="vpc_SecureHash" value="<?php echo(strtoupper(hash_hmac('SHA256', $hashinput, pack('H*',$securesecret)))); ?>"/>
<input type="hidden" name="vpc_SecureHashType" value="SHA256">

这是我的帖子：

Array ( [AgainLink] => http://fallscreekcountryclub.com.au/make-a-booking/submit-booking.html [b_terms] => 1 [chargetypeid] => 33 [deposit] => 580.00 [notes] => 4 Nights - 26/11/2016 to 30/11/2016 [propertyid] => 2 [total] => 580.00 [vpc_AccessCode] => 903876BC [vpc_Amount] => 58000 [vpc_Command] => pay [vpc_Locale] => en [vpc_MerchTxnRef] => 1479746896 [vpc_Merchant] => BBL5800396 [vpc_OrderInfo] => Studio Deluxe [vpc_ReturnURL] => http://fallscreekcountryclub.com.au/make-a-booking/booking-complete.html [vpc_Version] => 1 )

这是我的代码：

$appendAmp = 0; $isencoded = ''; $notencoded = ''; foreach($_POST as $key => $value) { if (strlen($value) > 0) { if ($appendAmp == 0) : $notencoded .= $key . '=' . $value; $isencoded .= urlencode($key) . '=' . urlencode($value); $appendAmp = 1; else : $notencoded .= '&' . $key . '=' . $value; $isencoded .= '&' . urlencode($key) . '=' . urlencode($value); endif; } } if (strlen($SECURE_SECRET) > 0) { #$vpcURL .= "&vpc_SecureHash=" . strtoupper(md5($md5HashData)); $SecureHash = strtoupper(hash_hmac('SHA256',$notencoded,pack('H*',$SECURE_SECRET))); $SecureHashType = 'SHA256'; } $vpcURL .= $notencoded.'&vpc_SecureHash='.$SecureHash.'&vpc_SecureHashType='.$SecureHashType;

我已经看到有人建议在构建vpcURL之前不要对vpc_ReturnURL字符串进行urlencode，因此我分别尝试了“isencoded”和“notencoded”，但两者都无效。

vpcURL的urlencode版本如下：

https://migs.mastercard.com.au/vpcpay?AgainLink=http%3A%2F%2Ffallscreekcountryclub.com.au%2Fmake-a-booking%2Fsubmit-booking.html&b_terms=1&chargetypeid=33&deposit=580.00&notes=4+Nights+-+26%2F11%2F2016+to+30%2F11%2F2016&propertyid=2&total=580.00&vpc_AccessCode=903876BC&vpc_Amount=58000&vpc_Command=pay&vpc_Locale=en&vpc_MerchTxnRef=1479746896&vpc_Merchant=BBL5800396&vpc_OrderInfo=Studio+Deluxe&vpc_ReturnURL=http%3A%2F%2Ffallscreekcountryclub.com.au%2Fmake-a-booking%2Fbooking-complete.html&vpc_Version=1&vpc_SecureHash=A5BA6503FC7A169A90C9AAC7039878F45D761180D874789172EB5A58298022E4&vpc_SecureHashType=SHA256

非urlencode版本如下：

https://migs.mastercard.com.au/vpcpay?AgainLink=http://fallscreekcountryclub.com.au/make-a-booking/submit-booking.html&b_terms=1&chargetypeid=33&deposit=580.00&notes=4 Nights - 26/11/2016 to 30/11/2016&propertyid=2&total=580.00&vpc_AccessCode=903876BC&vpc_Amount=58000&vpc_Command=pay&vpc_Locale=en&vpc_MerchTxnRef=1479746896&vpc_Merchant=BBL5800396&vpc_OrderInfo=Studio Deluxe&vpc_ReturnURL=http://fallscreekcountryclub.com.au/make-a-booking/booking-complete.html&vpc_Version=1&vpc_SecureHash=A5BA6503FC7A169A90C9AAC7039878F45D761180D874789172EB5A58298022E4&vpc_SecureHashType=SHA256

有没有任何想法，我做错了什么？我打电话给银行，他们不能帮我，他们甚至不知道我在说什么。

我知道$SECURE_SECRET号码是正确的，因为它是我用于原始md5哈希的相同数字。所以问题出在sha256哈希上，我不确定为什么，也不知道如何解决。

- SoulieBaby

3个回答

1

在链接参数之前使用 ksort() 对数组进行排序。
不要使用 urlencode() 处理 vpc_ReturnURL，否则会导致 SHA256 哈希结果不正确。以下是我从官方故障排除指南中找到的内容：

c) 确保 vpc_ReturnURL 没有经过 URL 编码（即 "/" 变成了 %2f）您可以使用以下链接解码 URL - http://meyerweb.com/eric/tools/dencoder/ 根据此示例生成的样本排序字符串如下：（从 2b 的输出中删除了 jsessionid、noheader、tdrid），即在排序顺序之前可以删除这些元素。

vpc_AccessCode=A837820A&vpc_Amount=100&vpc_Card=VC&vpc_CardNum=4222222222222&vpc_CardSecurityCode=100&vpc_Command=pay&vpc_Gateway=threeDSecure&vpc_Locale=en&vpc_MerchTxnRef=T2_7956&vpc_Merchant=TESTDIALECTTEST&vpc_ReturnURL=http://anjumpc:8080/dev-pg/payment/3dprocess.do&vpc_Version=1

请勿发送/散列不以vpc_开头的键的值，因为MGIS不关心这些值，并且不在哈希检查中使用这些值。指南也提到了这一点：

b) 删除哈希计算中不必要的字段，例如vpc_SecureHashType、vpc_SecureHash和任何不以vpc_或user_开头的字段——即2a中加粗显示的字段应被删除

请忽略此项（SHA256可用于工作中的MIGS商家）。

- KGGG

好的，我做了一些更改，我将我的字段更改为user_，然后我还将AgainLink更改为vpc_AgainLink，它起作用了.. :) - SoulieBaby

你有官方故障排除指南的链接吗？ - MohamedSanaulla

@MohamedSanaulla 抱歉，那个指南只能从银行获取，我无法提供。 - KGGG

谢谢，我们虽然有点晚收到了指南。但是在那之前我在ANZ支付网关上找到了一个在线的指南，其中包含测试卡和非常清晰的MIGS支付系统信息。 - MohamedSanaulla

0

尝试从被哈希的字符串中排除vpc_SecureHash和vpc_SecureHashType。以下是代码片段。

https://gist.github.com/lucasnetau/bcacb528d664f0ad1339086c1a585021

请告诉我它是否有效。

- NetAssets

是的，这两个不属于哈希的一部分，它们在所有内容被哈希后添加到末尾。 - SoulieBaby

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Moussa · Accepted Answer

大家好，我要分享我的工作代码。祝你使用愉快。

   $secretHash="xxxxxx";
    $accessCode='xxxxx';
    $merchantId='xxxxx';    

    $data = array(
        "vpc_AccessCode" => $accessCode,
        "vpc_Amount" => '100',
        "vpc_Command" => 'pay',
        "vpc_Locale" => 'en',
        "vpc_MerchTxnRef" =>  "REF_".time(),
        "vpc_Merchant" => $merchantId,
        "vpc_OrderInfo" => "Order_N_".time(),
        "vpc_ReturnURL" => urlencode("yourReturnUrl"),
        "vpc_Version" => '1',
        'vpc_SecureHashType' => 'SHA256'    
    );

    ksort($data);
    $hash = null;
    foreach ($data as $k => $v) {
        if (in_array($k, array('vpc_SecureHash', 'vpc_SecureHashType'))) {
            continue;
        }
        if ((strlen($v) > 0) && ((substr($k, 0, 4)=="vpc_") || (substr($k, 0, 5) =="user_"))) {
            $hash .= $k . "=" . $v . "&";
        }
    }
    $hash = rtrim($hash, "&");

    $secureHash = strtoupper(hash_hmac('SHA256', $hash, pack('H*', $secretHash)));
    $paraFinale = array_merge($data, array('vpc_SecureHash' => $secureHash));
    $actionurl = 'https://migs.mastercard.com.au/vpcpay?'.http_build_query($paraFinale);

    //print_r($actionurl);
    header("Location:".$actionurl);