Java 中生成的 HmacSha256 签名与 Go 中不同
HmacSha256 signature generated is different in Java than in Go
我正在将代码从 Go 转换为 Java。要转换的源位于 https://github.com/h2non/imaginary#url-signature,这是我当前转换为 Java.
的代码
问题是我遗漏了一些东西,因为 Java 中生成的签名与 Go 中生成的签名不同。
预期结果(如 Go 中的源代码所示):
ruEWRoFO-ic-L38vTsjqIYE6DLZ532CTaZXOh1gwuVo
Java 中的实际结果:
x2clz4ynSxcFPNc6h3W832vyrIQ=
我的代码在Java:
@Test
public void testSomeString() throws Exception {
String signKey = "4f46feebafc4b5e988f131c4ff8b5997";
String urlPath = "/resize";
String urlQuery = "file=image.jpg&height=200&type=jpeg&width=300";
byte[] signKeyAsBytes = signKey.getBytes("UTF-8");
SecretKey SHA256_KEY = new SecretKeySpec(signKeyAsBytes, "HmacSHA256");
byte[] hashAsBytes=Hashing.hmacSha1(SHA256_KEY)
.newHasher()
.putString(urlPath, UTF_8)
.putString(urlQuery, UTF_8)
.hash().asBytes();
String hash = Base64.getUrlEncoder().encodeToString(hashAsBytes);
//correct value in GoLang is: "ruEWRoFO-ic-L38vTsjqIYE6DLZ532CTaZXOh1gwuVo"
Assert.assertEquals("ruEWRoFO-ic-L38vTsjqIYE6DLZ532CTaZXOh1gwuVo", hash);
/*
Junit test fails with:
Expected :ruEWRoFO-ic-L38vTsjqIYE6DLZ532CTaZXOh1gwuVo
Actual :x2clz4ynSxcFPNc6h3W832vyrIQ=
*/
}
这是 Go 中的原始内容:
package main
import (
"crypto/hmac"
"crypto/sha256"
"encoding/base64"
"fmt"
)
func main() {
fmt.Println("Hello, playground")
signKey := "4f46feebafc4b5e988f131c4ff8b5997"
urlPath := "/resize"
urlQuery := "file=image.jpg&height=200&type=jpeg&width=300"
h := hmac.New(sha256.New, []byte(signKey))
h.Write([]byte(urlPath))
h.Write([]byte(urlQuery))
buf := h.Sum(nil)
fmt.Println("sign=" + base64.RawURLEncoding.EncodeToString(buf))
}
我不知道 Hashing class 你在 Java 中使用的是什么,因为它不是标准的,但如果我使用标准 class javax.crypto.Mac 使用该密钥和数据执行 HmacSHA256(不是 HmacSHA1)——并使用 JSON 推广的 Base64 的 'unpadded URLsafe' 变体进行编码,而不是传统的 Java 默认为 - - 我确实得到 ruEWRoFO-ic-L38vTsjqIYE6DLZ532CTaZXOh1gwuVo.
但是,在没有定界的情况下对路径和查询进行签名是非常糟糕的做法——这可能允许签名 'moved' 到不同的数据。使用字符但只有十六进制数字字符的密钥也很奇怪,但并不直接危险。如果没有进行广泛的调查,我不会将这样设计的方案用于任何重要的事情。
为了将来参考,这是最终的工作解决方案
package hashingImaginary;
import org.apache.commons.codec.binary.Base64;
import org.junit.Assert;
import org.junit.Test;
import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;
public class apacheHashingTest {
@Test
public void testWithJavaHmacApacheBase64() throws Exception {
String urlPath = "/resize";
String urlQuery = "file=image.jpg&height=200&type=jpeg&width=300";
String signKey = "4f46feebafc4b5e988f131c4ff8b5997";
String message = urlPath + urlQuery;
Mac sha256_HMAC = Mac.getInstance("HmacSHA256");
SecretKeySpec secret_key = new SecretKeySpec(signKey.getBytes(), "HmacSHA256");
sha256_HMAC.init(secret_key);
String hash = Base64.encodeBase64URLSafeString(sha256_HMAC.doFinal(message.getBytes()));
System.out.println(hash);
Assert.assertEquals("ruEWRoFO-ic-L38vTsjqIYE6DLZ532CTaZXOh1gwuVo", hash);
}
}
我正在将代码从 Go 转换为 Java。要转换的源位于 https://github.com/h2non/imaginary#url-signature,这是我当前转换为 Java.
的代码问题是我遗漏了一些东西,因为 Java 中生成的签名与 Go 中生成的签名不同。
预期结果(如 Go 中的源代码所示):
ruEWRoFO-ic-L38vTsjqIYE6DLZ532CTaZXOh1gwuVo
Java 中的实际结果:
x2clz4ynSxcFPNc6h3W832vyrIQ=
我的代码在Java:
@Test
public void testSomeString() throws Exception {
String signKey = "4f46feebafc4b5e988f131c4ff8b5997";
String urlPath = "/resize";
String urlQuery = "file=image.jpg&height=200&type=jpeg&width=300";
byte[] signKeyAsBytes = signKey.getBytes("UTF-8");
SecretKey SHA256_KEY = new SecretKeySpec(signKeyAsBytes, "HmacSHA256");
byte[] hashAsBytes=Hashing.hmacSha1(SHA256_KEY)
.newHasher()
.putString(urlPath, UTF_8)
.putString(urlQuery, UTF_8)
.hash().asBytes();
String hash = Base64.getUrlEncoder().encodeToString(hashAsBytes);
//correct value in GoLang is: "ruEWRoFO-ic-L38vTsjqIYE6DLZ532CTaZXOh1gwuVo"
Assert.assertEquals("ruEWRoFO-ic-L38vTsjqIYE6DLZ532CTaZXOh1gwuVo", hash);
/*
Junit test fails with:
Expected :ruEWRoFO-ic-L38vTsjqIYE6DLZ532CTaZXOh1gwuVo
Actual :x2clz4ynSxcFPNc6h3W832vyrIQ=
*/
}
这是 Go 中的原始内容:
package main
import (
"crypto/hmac"
"crypto/sha256"
"encoding/base64"
"fmt"
)
func main() {
fmt.Println("Hello, playground")
signKey := "4f46feebafc4b5e988f131c4ff8b5997"
urlPath := "/resize"
urlQuery := "file=image.jpg&height=200&type=jpeg&width=300"
h := hmac.New(sha256.New, []byte(signKey))
h.Write([]byte(urlPath))
h.Write([]byte(urlQuery))
buf := h.Sum(nil)
fmt.Println("sign=" + base64.RawURLEncoding.EncodeToString(buf))
}
我不知道 Hashing class 你在 Java 中使用的是什么,因为它不是标准的,但如果我使用标准 class javax.crypto.Mac 使用该密钥和数据执行 HmacSHA256(不是 HmacSHA1)——并使用 JSON 推广的 Base64 的 'unpadded URLsafe' 变体进行编码,而不是传统的 Java 默认为 - - 我确实得到 ruEWRoFO-ic-L38vTsjqIYE6DLZ532CTaZXOh1gwuVo.
但是,在没有定界的情况下对路径和查询进行签名是非常糟糕的做法——这可能允许签名 'moved' 到不同的数据。使用字符但只有十六进制数字字符的密钥也很奇怪,但并不直接危险。如果没有进行广泛的调查,我不会将这样设计的方案用于任何重要的事情。
为了将来参考,这是最终的工作解决方案
package hashingImaginary;
import org.apache.commons.codec.binary.Base64;
import org.junit.Assert;
import org.junit.Test;
import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;
public class apacheHashingTest {
@Test
public void testWithJavaHmacApacheBase64() throws Exception {
String urlPath = "/resize";
String urlQuery = "file=image.jpg&height=200&type=jpeg&width=300";
String signKey = "4f46feebafc4b5e988f131c4ff8b5997";
String message = urlPath + urlQuery;
Mac sha256_HMAC = Mac.getInstance("HmacSHA256");
SecretKeySpec secret_key = new SecretKeySpec(signKey.getBytes(), "HmacSHA256");
sha256_HMAC.init(secret_key);
String hash = Base64.encodeBase64URLSafeString(sha256_HMAC.doFinal(message.getBytes()));
System.out.println(hash);
Assert.assertEquals("ruEWRoFO-ic-L38vTsjqIYE6DLZ532CTaZXOh1gwuVo", hash);
}
}