【渣渣程序员踩过的坑】PHP的hash_hmac签名加密,PHP迷一样的base64_encode

介绍一下问题的背景:

本人一枚小小PHPer,有一天公司的Java找到我,让我帮忙写一个接口的Demo,心想:‘最喜欢写接口了,来来来来!’,于是Java就带着Java版Demo来了,大概看了一遍,具体涉及以下几点:(不想了解的看最后一部分,就好了,那是中心思想)

  • md5加密:

java中定义hashMap,储存userid,再使用toJSONString将其转换成Json串,再将Json使用md5Hex加密,再放入hashMap中

  • map参数格式转换:

将map中的数据转换成String,对key,value进行数据拼接,拼接成字符串,此字符串具体要求如下:
‘按照参数名ASCII码从小到大排序,使用URL键值对的格式(即key1=value1&key2=value2…)构造成字符串signPlainText’

  • hash_hmac签名验证:

这个没什么说的,PHP中有hash_hmac函数

谈论一下遇到的坑:

本PHPer比较渣渣,不知道Java中的hashMap是用来做啥的,但我知道,它最后做了一件事:JSONObject.toJSONString(body),没错,转换成字符串了,所以有了以下代码:(不负责的贴图,不知道正确与否)

md5加密

Java版

Map<String, String> body = new HashMap<>();
            body.put("userId", userId);
            //post请求body为json格式,将json格式进行md5加密
            String postBody = JSONObject.toJSONString(body);
            String bodyMd = DigestUtils.md5Hex(postBody);

PHP版

$body = ["userId"=>$userId];
            $postbody = json_encode($body);
            $bodyMd = md5($postbody);

上边我们之间应该是在做一件事请吧?应该是的,反正都是转成了Json,转成了Md5

【渣渣程序员踩过的坑】PHP的hash_hmac签名加密,PHP迷一样的base64_encode

接下来就是map转换string了,再贴两段代码:(不负责的贴,不知道正确与否)
(按照参数名ASCII码从小到大排序,使用URL键值对的格式(即key1=value1&key2=value2…)构造成字符串signPlainText)

map参数格式转换:

Java版

Map<String, Object> resultMap = new TreeMap<>();
        for (Map.Entry entry : map.entrySet()) {
            String key = (String) entry.getKey();
            Object value = entry.getValue();
            if (StringUtils.isEmpty(key) || value == null) {
                continue;
            }
            resultMap.put(key, value);
        }
        StringBuilder buff = new StringBuilder();
        for (Map.Entry<String, Object> entry : resultMap.entrySet()) {
            buff.append(entry.getKey()).append("=").append(entry.getValue()).append("&");
        }
        String signPlanText = buff.toString();
        if (StringUtils.isNotEmpty(signPlanText)) {
            signPlanText = signPlanText.substring(0, signPlanText.length() - 1);
        }
        return signPlanText;

PHP版

$signPlanText = '';
        ksort($params);
        foreach ($params as $key => $param){
            if(empty($key) || $param == null){
                continue;
            }
            $signPlanText .= $key.'='.$param.'&';
        }
        if($signPlanText){
            $signPlanText = substr($signPlanText,0,strlen($signPlanText)-1);
        }
        return $signPlanText;

遇到的问题: 因为Java中Treemap是有序的,按照自然值进行排序,但PHP中好像没有这样一个东西,所以决定使用Ksort来进行排序,不知道是否正确!应该是正确的吧?各位大神拍砖~

HmacSHA256签名验证:

Java版

String signature = "";
        try {
            Mac sha256HMAC = Mac.getInstance(HMACSHA256);
            SecretKeySpec secretkey = new SecretKeySpec(appSecret.getBytes(StandardCharsets.UTF_8), HMACSHA256);
            sha256HMAC.init(secretkey);
            byte[] bytes = sha256HMAC.doFinal(plainText.getBytes(StandardCharsets.UTF_8));
            signature = Base64.encodeBase64URLSafeString(bytes);
        } catch (Exception e) {
            e.printStackTrace();
        }
        return signature;

PHP版( 呀?看起来是不是没有问题?)

$hmac_sha256_str = base64_encode(hash_hmac("sha256", $signPlanText, $appSecret));
        $signature = urlencode($hmac_sha256_str);
        return $signature;

还在想,PHP这么点代码就解决了?不愧是世界上最好的语言’,(大佬们,我加引号了)
23:35分终于翻译完以上Java代码,放一首歌,美美的睡觉,心想明天可以美美的交工~ (滴滴滴滴滴滴等待~地理地理等待~~)

坑来了,运行上边代码,你会发现,接口提示签名错误!!错误一直是错误!!为什么呢???明明是一样的啊!百思不得其解!!

继续往下看···

再看PHP文档中的hash_hmac的声明:

string hash_hmac ( string $algo , string $data , string $key [, bool $raw_output = FALSE ] )

algo
要使用的哈希算法名称,例如:"md5","sha256","haval160,4" 等。 如何获取受支持的算法清单,请参见 hash_algos()。

data
要进行哈希运算的消息。

key
使用 HMAC 生成信息摘要时所使用的密钥。

raw_output 设置为 TRUE 输出原始二进制数据, 设置为 FALSE 输出小写 16 进制字符串。

在Java中sha256HMAC后得到的值为二进制,So,PHP也要转换为二进制,所以改进为以下代码:

hash_hmac("sha256", $signPlanText, $appSecret,true);//由此生成出的为二进制格式

这还没完,最重要的出现了:

java中Base64.encodeBase64URLSafeString(bytes) 会将 特殊字符‘+/’替换为'-_',会将‘=’去掉

但是!!PHP不会!!! PHP 没有提供url安全的base64编码函数,需要自己手动去撸!还是自己水平不够

So,出现了以下代码,也是最终的解决方案:

/**
     * 签名验证
     */
    public static function generateSHASign($signPlanText,$appSecret){
        $signature = self::base64UrlEncode(hash_hmac("sha256",$signPlanText, $appSecret, true));
        return $signature;
    }

    /**
     * 替换特殊符号
     */
    public static function base64UrlEncode($str){
       return rtrim(strtr(base64_encode($str),'+/','-_'),'=');
    }

这时,你会发现,签名正确,原来生活如此美好、怪我太年轻


同时有朋友说:
1.是有两套不相同的标准,Ios一套,Java一套
2.在PHP中url_encode这个函数,分两种: urlencode 和 rawurlencode

两者的差异:urlencode和rawurlencode两个方法在处理字母数字,特殊符号,中文的时候结果都是一样的,唯一的不同是对空格的处理,urlencode处理成“+”,rawurlencode处理成%20

总结下来就是:

php的base64_encode和base64_decode用来转换url是不符合要求,所以需要自己实现方法

base64url_decode

public static function base64url_decode($data)
    {
        return base64_decode(str_pad(strtr($data, '-_', '+/'), strlen($data) % 4, '=', STR_PAD_RIGHT));
    }

base64url_encode

public static function base64url_encode($data)
    {
        return rtrim(strtr(base64_encode($data), '+/', '-_'), '=');
    }

终是晓梦迷了蝶,你是恩赐也是劫!

相关推荐