logo标签列表

Coldfusion CFHTTP与SHA512-hmac签名的REST请求体

apiencryptioncoldfusionsignedcfhttp
14

我正在尝试在bitfloor.com的交易API上进行签名请求(它是一个REST API)。

Bitfloor给了我:

1)API密钥(如6bd2b780-00be-11e2-bde3-2837371c3c3a)

2)Secret Key(即oaFz62YpmbWiXwseMUSod53D8pOjdyVcweNYdiab/TSQqxk6IuemDvimNaQoA==)

以下是Bitfloor制作请求的确切说明:

请求必须是端口443(https)上的HTTPS POST请求。每个请求必须包含所需的标题(如下所示)。标题标识,验证和验证您的请求以防止篡改。 headers

bitfloor-key这是由bitfloor提供的用于唯一标识您的帐户的键。 (i.e. 6bd2b780-00be-11e2-bde3-2837371c3c3a)

bitfloor-sign签名字段是请求体使用与您的API密钥相对应的密钥sha512-hmac的结果。

要签署您的请求:将密钥解码为原始字节(64字节)。使用这些字节对HTTP请求正文进行sha512-hmac签名。对签名结果进行base64编码并发送到此标题字段中。

bitfloor-passphrase您在创建此API密钥时指定的密码。如果忘记了密码,我们无法恢复它。您需要创建一个新的API密钥。

bitfloor-version您感兴趣的资源的API版本。当前唯一有效的值为1

经过整整八个小时的反复尝试和搜索互联网以获取任何见解或信息后,以下代码是我能够构建请求的方向的最接近之处。不幸的是,无论我尝试什么,他们的API都返回“Invalid Signature”。

这是我目前的代码...

首先,我在网上找到了这个函数,用于进行SHA512签名:

<cffunction name="HMAC_SHA512" returntype="binary" access="public" output="false">
    <cfargument name="signKey" type="string" required="true">
    <cfargument name="signMessage" type="string" required="true">

    <cfset var jMsg = JavaCast("string",arguments.signMessage).getBytes("iso-8859-1")>
    <cfset var jKey = JavaCast("string",arguments.signKey).getBytes("iso-8859-1")>
    <cfset var key  = createObject("java","javax.crypto.spec.SecretKeySpec")>
    <cfset var mac  = createObject("java","javax.crypto.Mac")>
    <cfset key  = key.init(jKey,"HmacSHA512")>
    <cfset mac  = mac.getInstance(key.getAlgorithm())>
    <cfset mac.init(key)>
    <cfset mac.update(jMsg)>
    <cfreturn mac.doFinal()>
</cffunction>

我不知道它是做什么的,但它似乎可以工作且没有出错。

这是我的函数实现以及我尝试发出请求: 注意: “nonce”值是必需的参数,必须与请求一起发送。

<cffunction name="myorders">
    <cfset nonce        = dateDiff("s",createDateTime(2012,01,01,0,0,0),now())>
    <cfset requestbody  = "?nonce=#nonce#">
    <cfset key      = "oaFz62YpmbWiXwseMUSod53D8pOjdyVcweNYdiab/TSQqxk6IuemDvimNaQoA==">
    <cfset sign     = HMAC_SHA512(key,requestbody)>
    <cfset signed       = binaryEncode(sign,"Base64")>

    <!--- HTTP REQUEST --->
    <cfhttp url = "https://api.bitfloor.com/orders#requestbody#"
        method  = "post"
        result  = "bitfloor">

    <!--- HEADERS --->
    <cfhttpparam
        type    = "body"
        value   = requestbody>
    <cfhttpparam
        type    = "header"
        name    = "bitfloor-key"
        value   = "6bd2b780-00be-11e2-bde3-2837371c3c3a">
    <cfhttpparam
        type    = "header"
        name    = "bitfloor-sign"
        value   = signed>
    <cfhttpparam
        type    = "header"
        name    = "bitfloor-passphrase"
        value   = "mysecretpassphrase">
    <cfhttpparam
        type    = "header"
        name    = "bitfloor-version"
        value   = "1">
    </cfhttp>
</cffunction>

我认为我的困惑大部分来自于不确切地了解"请求正文(request body)"是什么。我觉得可能没有正确签署。

希望有一位熟悉签名请求的Coldfusion程序员能够帮助。我已经快要崩溃了。

请帮帮我!谢谢!

1个回答
2

我没有使用过那个API,但是我进行了一些测试,似乎可以通过以下调整使其正常工作:

  • 由于secretKey的值是base64编码的,因此您的签名函数需要使用binaryDecode来正确提取字节。使用String.getBytes(...)会产生完全不同(错误的)结果。

  • 预期的请求体值只是:nonce=#nonceValue#(没有前导的"?"

  • 它似乎需要Content-Type=application/x-www-form-urlencoded头部,否则它无法解析内容,响应为:{"error":"no nonce specified"}

代码

 <cfset apiKey = "6bd2b780-00be-11e2-bde3-2837371c3c3a">
 <cfset secretKey = "oaFz62YpmbWiXwseMUSod53D8pOjdyVcweNYdiab/TSQqxk6IuemDvimNaQoA==">
 <cfset passphrase = "your secret phrase">

 <cfset requestBody  = "nonce="& now().getTime()>
 <cfset signBytes    = HMAC_SHA512(secretKey, requestbody)>
 <cfset signBase64   = binaryEncode(signBytes, "base64")>

 <cfhttp url="https://api.bitfloor.com/orders" method="post" port="443" result="bitfloor">
    <cfhttpparam type="header" name="Content-Type" value="application/x-www-form-urlencoded">
    <cfhttpparam type="header" name="bitfloor-key" value="#apiKey#">
    <cfhttpparam type="header" name="bitfloor-sign" value="#signBase64#">
    <cfhttpparam type="header" name="bitfloor-passphrase" value="#passphrase#">
    <cfhttpparam type="header" name="bitfloor-version" value="1">
    <cfhttpparam type="body" value="#requestBody#">
 </cfhttp>

 <cfdump var="#bitfloor#" label="Response">

<cffunction name="HMAC_SHA512" returntype="binary" access="public" output="false">
    <cfargument name="base64Key" type="string" required="true">
    <cfargument name="signMessage" type="string" required="true">
    <cfargument name="encoding" type="string" default="UTF-8">

     <cfset var messageBytes = JavaCast("string",arguments.signMessage).getBytes(arguments.encoding)>
     <cfset var keyBytes = binaryDecode(arguments.base64Key, "base64")>
     <cfset var key  = createObject("java","javax.crypto.spec.SecretKeySpec")>
     <cfset var mac  = createObject("java","javax.crypto.Mac")>
     <cfset key  = key.init(keyBytes,"HmacSHA512")>
     <cfset mac  = mac.getInstance(key.getAlgorithm())>
     <cfset mac.init(key)>
     <cfset mac.update(messageBytes)>

     <cfreturn mac.doFinal()>
</cffunction>
非常感谢你,Leigh!我希望我能向你解释当我看到真实数据在经历了数百次失败后终于返回时所感受到的兴奋。它似乎永远都不会起作用。你是一个真正的救星!谢谢你,谢谢你,谢谢你!我将继续留在这个网站上,并尽我所能回报社区。我的朋友,Namaste。 - Jay
我只是来给你点赞,因为你回答了一个如此困难的问题。 - K_Cruz
@KRC - 谢谢。很遗憾,API经常低估了一些“具体”的例子的价值。当开发人员确切地知道“正确”的输入是什么时,他们更容易发现问题和逻辑错误(比如hmacSHA512函数)。 - Leigh
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接