Facebook Messenger API 请求内容不完整 body

Facebook messenger API incomplete content in request body

解释有点长,请耐心等待

我正在构建一个 Facebook Messenger 机器人,它在后端使用我的 sails.js/node.js 服务器和一个 MongoDB 数据库。

在我的 sails 应用程序中,我已将策略应用于控制器的方法,该方法处理在收到用户的文本后要执行的操作。在此策略中,我遵循文档(https://developers.facebook.com/docs/messenger-platform/webhook-reference - "Security" 部分)并将请求 header 中的 x-hub-signature 与请求负载的 sha1 摘要进行比较( body)。

所以现在每当我向机器人发送消息时,它都会在策略中说请求的签名和我计算的签名不同,因此不会继续。我仔细检查了计算摘要时应该使用的应用程序机密,它似乎是正确的。我发现的另一个区别是,Facebook 请求还在其 header 中发送了一个 "content-length" 字段,这与他们在同一请求中发送的 body 的字符长度不同。这就是我认为不同签名的原因,但我无法解决它并找到问题的根源,为什么会发生这种情况。

还要注意的另一件事是,抛出此不匹配错误的同一代码在某些时间(实际上,大多数时间)运行完美。

有人body可以帮我吗?我将永远感激 :)

这是政策中的代码

var crypto = require('crypto');
if(req.headers['x-hub-signature']){
    //console.log('req headers -----', JSON.stringify(req.headers));
    //console.log('req body -----', JSON.stringify(req.body));

    var hmac, calculatedSignature, payload = req.body;
    hmac = crypto.createHmac('sha1', app_secret);
    hmac.update(JSON.stringify(payload));
    calculatedSignature = 'sha1='+hmac.digest('hex');

    //console.log("signature calculatedSignature",calculatedSignature);
    if(calculatedSignature === req.headers['x-hub-signature']){
        return next();
    }else{
        res.forbidden('You shall not pass!');
    }
}

这是一个示例请求 header -

{"host":"e93d4245id.ngrok.io","accept":"*/*","accept-encoding":"deflate, gzip","content-type":"application/json","x-hub-signature":"sha1=d0cd8177add9b1ff367d411942603b0d08183964","content-length":"274","x-forwarded-proto":"https","x-forwarded-for":"127.0.0.1"}

这是来自同一请求的 body -

{"object":"page","entry":[{"id":"1778585282425767","time":1479476014038,"messaging":[{"sender":{"id":"userId"},"recipient":{"id":"recipientId"},"timestamp":1479468097895,"message":{"mid":"mid.1479468097895:efdc7d2c68","seq":2355,"text":"Hahahaha"}}]}]}

我认为问题在于某些特定字符(例如 @ 和 %)需要转换为其文档中指定的 unicode 转义序列,并替换为原始字符串化 JSON。我转换了它们,然后计算了新字符串的 hmac 签名,它得到了匹配。

另外,我认为它在某些情况下起作用以及为什么不起作用的原因是因为正在字符串化的字符串中存在特殊字符。如果它没有字符 @ 或 % 那么它可以毫无问题地工作。

我就是这样解决的- 里面 if var hmac, calculatedSignature, payload = JSON.stringify(req.body);

    var resStr = payload.replace(/\@|\%/g,function(a, i){
        hex = payload.charCodeAt(i).toString(16);
        var s = "\u" + ("000"+hex).slice(-4);
        return s;
    });

    hmac = crypto.createHmac('sha1', app_secret);
    hmac.update(resStr);
    calculatedSignature = 'sha1='+hmac.digest('hex');

    if(calculatedSignature === req.headers['x-hub-signature']){
        return next();
    }else{
        res.forbidden('You shall not pass!');
    }

你的 bodyParserJSON 应该 return rawBody (在很多情况下只是字符串化会失败):

bodyParser.json({
    verify(req, res, buf) {
      req.rawBody = buf;
    },
})

这是我写的一个中间件。它使用 crypto 模块生成 sha1

fbWebhookAuth: (req, res, next) => {
    const hmac = crypto.createHmac('sha1', process.env.FB_APP_SECRET);
    hmac.update(req.rawBody, 'utf-8');
    if (req.headers['x-hub-signature'] === `sha1=${hmac.digest('hex')}`) next();
    else res.status(400).send('Invalid signature');
}

最后在您的路线中,您可以将其用作:

app.post('/webhook/facebook', middlewares.fbWebhookAuth, facebook.webhook);