PHP 和 CryptoJS 输出与几个函数不匹配

PHP and CryptoJS output does not match for several functions

我们需要从 php laravel 后端调用第三方 api。要调用 api 我们需要以签名形式发送一些数据以用于授权目的。对于签名过程,提供了以下抽象方法

signature = base64(hmacSHA256(utf8EncodingOf(partnerSecret), utf8EncodingOf(stringToSign)))

他们还提供了一个 postman 集合来测试 api。在调查集合时,我们偶然发现了使用 CryptoJS 库生成签名的“预请求脚本”。

主要问题出现在签名过程开始时,在此之前所有输出都是相同的。

使用 CryptoJS 考虑以下 JS 代码。

    let stringToSign = 'aReallyLongStringNeededToBeSigned';
    let secret = 'thisIsVerySecret';

    stringToSign = CryptoJS.enc.Utf8.parse(stringToSign);
    let key = CryptoJS.enc.Utf8.parse(secret);
    console.log('after encode stringToSign => '+stringToSign);
    console.log('after encode key => '+key);

    let hash = CryptoJS.HmacSHA256(stringToSign, key);
    let signature = ''+CryptoJS.enc.Base64.stringify(hash);
    console.log('generated hash => '+hash);
    console.log('generated signature => '+signature);

给出以下输出:

after encode stringToSign => 615265616c6c794c6f6e67537472696e674e6565646564546f42655369676e6564
after encode key => 74686973497356657279536563726574
generated hash => 703e481c7e9a0409a0a78853679e15d34f7ce8972b8d9678471cd0d98f4e61cf
generated signature => cD5IHH6aBAmgp4hTZ54V00986JcrjZZ4RxzQ2Y9OYc8=

现在考虑以下 PHP 类似工作的代码:

        $stringToSign = 'aReallyLongStringNeededToBeSigned';
        $secret = 'thisIsVerySecret';

        $stringToSign = utf8_encode($stringToSign);
        $key = utf8_encode($secret);
        Log::info('after encode stringToSign => '.$stringToSign);
        Log::info('after encode key => '.$key);

        $hash = hash_hmac('sha256', $stringToSign, $key, true);
        $signature = base64_encode($hash);
        Log::info('generated hash => '.$hash);
        Log::info('generated signature => '.$signature);

在PHP中它给出了以下输出。

after encode stringToSign => aReallyLongStringNeededToBeSigned  
after encode key => thisIsVerySecret  
generated hash => p>H~�   ���Sg��O|�+��xG�ُNa�  
generated signature => cD5IHH6aBAmgp4hTZ54V00986JcrjZZ4RxzQ2Y9OYc8= 

之后的输出不同。并且以utf8编码方式开头。我们还尝试查看 php 的 hmacSha256 以及 CryptoJS 生成的编码输出,如下所示。

$hash = hash_hmac('sha256', "615265616c6c794c6f6e67537472696e674e6565646564546f42655369676e6564",
            "74686973497356657279536563726574", true);

最后一个值在 true 和 false 之间调整,输出如下。

generated hash => (,F\=�V�կ��w}��@��j6�z�VP�S  // true
generated hash => 281e2c465c3dbd56b1d5af84ea777d92e34095e16a0f360ee87a7fa156509f53 // false

我们肯定在这里遗漏了一些东西。所以问题是:

  1. 为什么相同的哈希算法输出不同(特别是hmacSha256)?
  2. 此外 PHP 获得与 CryptoJS 相似结果的函数是什么?

请分享您的宝贵发现。提前致谢......

N.B.: 我们已经看到了以下内容。但是这些并不能帮助我们的情况获得所需的输出。

您将 PHP 脚本存储在什么字符编码中?如果那已经是 UTF-8,那么您不应该将 utf8_encode 应用于您的输入值,因为那样会“加倍”编码。

如果您的脚本 已经以 UTF-8 编码保存,那么

base64_encode(hash_hmac('sha256', 'aReallyLongStringNeededToBeSigned', 'thisIsVerySecret', true));

得到你cD5IHH6aBAmgp4hTZ54V00986JcrjZZ4RxzQ2Y9OYc8=,这正是你想要的结果。