shopify 嵌入式应用程序 hmac 验证失败 php

Question

嗨，shopify 大师我知道这个问题已经出现了一千次左右，我知道这一点是因为我已经阅读了我能找到的每一条线索。

我的应用程序验证工作正常，但现在我切换到嵌入式应用程序，我似乎无法验证 hmac。

    //Remove hmac from hash comparison
    $hmac = $data['hmac'];
    unset($data['hmac']);

    //sort the values alphabetically
    ksort($data);
    $data = urldecode(http_build_query($data));

    $hash = hash_hmac('sha256', $data, $this->ci->get('settings')['shopify']['api_secret']);

这段代码将不断返回与 hmac shopify 发送给我的不同的哈希值，我猜编码或转义有问题，我已经尝试了所有我能想到的方法（htmlspecialchars、urldecode、strreplace、doublecheck secret 等）。

urldecode 行之后的字符串如下所示：

locale=en&protocol= https://&shop=mystorehandle.myshopify.com&timestamp=1539901099

任何帮助将不胜感激，我想在我的应用程序上完成一些工作，但过去 3 个小时一直在试图让我的 hmac 与 shopify 的同步:(

我很安静，确定我做对了，但不知道为什么它那时不起作用。

我买馅饼给谁先知道答案。

Answer 1

好吧...不要问我这是如何或为什么工作，但它确实如此。 2-3 小时后，我在黑暗中完全刺伤了它，它奏效了。 我很确定它只能工作，因为 Shopify 方面存在错误。

我的嵌入式应用程序按此顺序输入 GET params hmac/shop/timestamp/protocol/locale。

出于某种原因，构建 shop=[myshop]&timestamp=[timestamp] 的查询字符串有效。

换句话说，我删除了 hmac，但也删除了协议和语言环境。

但是，使用此代码，破坏了我的应用程序的 TEST 版本，该版本实际上在包含协议和语言环境的情况下运行良好。

我在这里唯一的结论是，hmac 是从 hmac 后面的 GET 参数派生出来的，它们是按字母顺序排列的，当后面的参数不是这个顺序时停止。

因此，如果 GET 参数是 hmac/shop/timestamp/protocol/locale - 使用商店和时间戳生成您的哈希字符串。

如果 GET 参数是 hmac/locale/protocol/shop/timestamp - 使用区域设置、协议、商店和时间戳生成您的哈希字符串。

这么奇怪。 真的很想知道这是否也适合你！

这是我的代码：

parse_str($_SERVER['QUERY_STRING'], $queryStringArray);
$providedHmac = $_GET['hmac'];

unset($queryStringArray['hmac']);
$amp = '';
$i = 0;
foreach($queryStringArray as $key => $value)
{
    $keyFirstLetter = substr($key, 0, 1);
    if($i == 0 || $keyFirstLetter > $lastKeyFirstLetter)
    {
        $newQueryString .= $amp . $key . '=' . $value;
        $amp = '&';
    }
    $lastKeyFirstLetter = $keyFirstLetter;
    $i++;
}

$calculatedHmac = hash_hmac('sha256', $newQueryString, SHOPIFY_APP_SHARED_SECRET);

$hmacValid = false;
if($calculatedHmac == $providedHmac)
{
    $hmacValid = true;
}