PHP 和 CryptoJS 输出与几个函数不匹配
PHP and CryptoJS output does not match for several functions
我们需要从 php laravel 后端调用第三方 api。要调用 api 我们需要以签名形式发送一些数据以用于授权目的。对于签名过程,提供了以下抽象方法
signature = base64(hmacSHA256(utf8EncodingOf(partnerSecret), utf8EncodingOf(stringToSign)))
他们还提供了一个 postman 集合来测试 api。在调查集合时,我们偶然发现了使用 CryptoJS 库生成签名的“预请求脚本”。
主要问题出现在签名过程开始时,在此之前所有输出都是相同的。
使用 CryptoJS 考虑以下 JS 代码。
let stringToSign = 'aReallyLongStringNeededToBeSigned';
let secret = 'thisIsVerySecret';
stringToSign = CryptoJS.enc.Utf8.parse(stringToSign);
let key = CryptoJS.enc.Utf8.parse(secret);
console.log('after encode stringToSign => '+stringToSign);
console.log('after encode key => '+key);
let hash = CryptoJS.HmacSHA256(stringToSign, key);
let signature = ''+CryptoJS.enc.Base64.stringify(hash);
console.log('generated hash => '+hash);
console.log('generated signature => '+signature);
给出以下输出:
after encode stringToSign => 615265616c6c794c6f6e67537472696e674e6565646564546f42655369676e6564
after encode key => 74686973497356657279536563726574
generated hash => 703e481c7e9a0409a0a78853679e15d34f7ce8972b8d9678471cd0d98f4e61cf
generated signature => cD5IHH6aBAmgp4hTZ54V00986JcrjZZ4RxzQ2Y9OYc8=
现在考虑以下 PHP 类似工作的代码:
$stringToSign = 'aReallyLongStringNeededToBeSigned';
$secret = 'thisIsVerySecret';
$stringToSign = utf8_encode($stringToSign);
$key = utf8_encode($secret);
Log::info('after encode stringToSign => '.$stringToSign);
Log::info('after encode key => '.$key);
$hash = hash_hmac('sha256', $stringToSign, $key, true);
$signature = base64_encode($hash);
Log::info('generated hash => '.$hash);
Log::info('generated signature => '.$signature);
在PHP中它给出了以下输出。
after encode stringToSign => aReallyLongStringNeededToBeSigned
after encode key => thisIsVerySecret
generated hash => p>H~� ���Sg��O|�+��xG�ُNa�
generated signature => cD5IHH6aBAmgp4hTZ54V00986JcrjZZ4RxzQ2Y9OYc8=
之后的输出不同。并且以utf8编码方式开头。我们还尝试查看 php 的 hmacSha256 以及 CryptoJS 生成的编码输出,如下所示。
$hash = hash_hmac('sha256', "615265616c6c794c6f6e67537472696e674e6565646564546f42655369676e6564",
"74686973497356657279536563726574", true);
最后一个值在 true 和 false 之间调整,输出如下。
generated hash => (,F\=�V�կ��w}��@��j6�z�VP�S // true
generated hash => 281e2c465c3dbd56b1d5af84ea777d92e34095e16a0f360ee87a7fa156509f53 // false
我们肯定在这里遗漏了一些东西。所以问题是:
- 为什么相同的哈希算法输出不同(特别是hmacSha256)?
- 此外 PHP 获得与 CryptoJS 相似结果的函数是什么?
请分享您的宝贵发现。提前致谢......
N.B.: 我们已经看到了以下内容。但是这些并不能帮助我们的情况获得所需的输出。
您将 PHP 脚本存储在什么字符编码中?如果那已经是 UTF-8,那么您不应该将 utf8_encode 应用于您的输入值,因为那样会“加倍”编码。
如果您的脚本 已经以 UTF-8 编码保存,那么
base64_encode(hash_hmac('sha256', 'aReallyLongStringNeededToBeSigned', 'thisIsVerySecret', true));
得到你cD5IHH6aBAmgp4hTZ54V00986JcrjZZ4RxzQ2Y9OYc8=,这正是你想要的结果。
我们需要从 php laravel 后端调用第三方 api。要调用 api 我们需要以签名形式发送一些数据以用于授权目的。对于签名过程,提供了以下抽象方法
signature = base64(hmacSHA256(utf8EncodingOf(partnerSecret), utf8EncodingOf(stringToSign)))
他们还提供了一个 postman 集合来测试 api。在调查集合时,我们偶然发现了使用 CryptoJS 库生成签名的“预请求脚本”。
主要问题出现在签名过程开始时,在此之前所有输出都是相同的。
使用 CryptoJS 考虑以下 JS 代码。
let stringToSign = 'aReallyLongStringNeededToBeSigned';
let secret = 'thisIsVerySecret';
stringToSign = CryptoJS.enc.Utf8.parse(stringToSign);
let key = CryptoJS.enc.Utf8.parse(secret);
console.log('after encode stringToSign => '+stringToSign);
console.log('after encode key => '+key);
let hash = CryptoJS.HmacSHA256(stringToSign, key);
let signature = ''+CryptoJS.enc.Base64.stringify(hash);
console.log('generated hash => '+hash);
console.log('generated signature => '+signature);
给出以下输出:
after encode stringToSign => 615265616c6c794c6f6e67537472696e674e6565646564546f42655369676e6564
after encode key => 74686973497356657279536563726574
generated hash => 703e481c7e9a0409a0a78853679e15d34f7ce8972b8d9678471cd0d98f4e61cf
generated signature => cD5IHH6aBAmgp4hTZ54V00986JcrjZZ4RxzQ2Y9OYc8=
现在考虑以下 PHP 类似工作的代码:
$stringToSign = 'aReallyLongStringNeededToBeSigned';
$secret = 'thisIsVerySecret';
$stringToSign = utf8_encode($stringToSign);
$key = utf8_encode($secret);
Log::info('after encode stringToSign => '.$stringToSign);
Log::info('after encode key => '.$key);
$hash = hash_hmac('sha256', $stringToSign, $key, true);
$signature = base64_encode($hash);
Log::info('generated hash => '.$hash);
Log::info('generated signature => '.$signature);
在PHP中它给出了以下输出。
after encode stringToSign => aReallyLongStringNeededToBeSigned
after encode key => thisIsVerySecret
generated hash => p>H~� ���Sg��O|�+��xG�ُNa�
generated signature => cD5IHH6aBAmgp4hTZ54V00986JcrjZZ4RxzQ2Y9OYc8=
之后的输出不同。并且以utf8编码方式开头。我们还尝试查看 php 的 hmacSha256 以及 CryptoJS 生成的编码输出,如下所示。
$hash = hash_hmac('sha256', "615265616c6c794c6f6e67537472696e674e6565646564546f42655369676e6564",
"74686973497356657279536563726574", true);
最后一个值在 true 和 false 之间调整,输出如下。
generated hash => (,F\=�V�կ��w}��@��j6�z�VP�S // true
generated hash => 281e2c465c3dbd56b1d5af84ea777d92e34095e16a0f360ee87a7fa156509f53 // false
我们肯定在这里遗漏了一些东西。所以问题是:
- 为什么相同的哈希算法输出不同(特别是hmacSha256)?
- 此外 PHP 获得与 CryptoJS 相似结果的函数是什么?
请分享您的宝贵发现。提前致谢......
N.B.: 我们已经看到了以下内容。但是这些并不能帮助我们的情况获得所需的输出。
您将 PHP 脚本存储在什么字符编码中?如果那已经是 UTF-8,那么您不应该将 utf8_encode 应用于您的输入值,因为那样会“加倍”编码。
如果您的脚本 已经以 UTF-8 编码保存,那么
base64_encode(hash_hmac('sha256', 'aReallyLongStringNeededToBeSigned', 'thisIsVerySecret', true));
得到你cD5IHH6aBAmgp4hTZ54V00986JcrjZZ4RxzQ2Y9OYc8=,这正是你想要的结果。