php - Facebook 即时游戏玩家签名验证失败
问题描述
我目前正在 Facebook 上开发一款即时游戏,需要验证玩家信息是否来自 facebook。Facebook 通过散列签名提供验证,如下所述:
https://developers.facebook.com/docs/games/instant-games/sdk/fbinstant6.2#signedplayerinfo
我按照概述的步骤进行操作,但无法获得匹配的签名:
这是签名:
$_POST['psig'] = 'je3yV8uKmysDrjXv1xp_RY2rTMJLEREM7xj8SGt5HEk.eyJhbGdvcml0aG0iOiJITUFDLVNIQTI1NiIsImlzc3VlZF9hdCI6MTU1MjI1NTc2OCwicGxheWVyX2lkIjoiMjA1OTE4OTA2MDgyMzk4MyIsInJlcXVlc3RfcGF5bG9hZCI6InBkYXRhIn0';
1) 将签名分成由“。”分隔的两部分。特点。
$first_part = explode('.', $_POST['psig'])[0];
echo $first_part;
// Output:
je3yV8uKmysDrjXv1xp_RY2rTMJLEREM7xj8SGt5HEk
$second_part = explode('.', $_POST['psig'])[1];
echo $second_part;
// Output
eyJhbGdvcml0aG0iOiJITUFDLVNIQTI1NiIsImlzc3VlZF9hdCI6MTU1MjI1NTc2OCwicGxheWVyX2lkIjoiMjA1OTE4OTA2MDgyMzk4MyIsInJlcXVlc3RfcGF5bG9hZCI6InBkYXRhIn0
2)使用base64url编码解码第一部分(编码签名)。
echo base64_decode($first_part);
// Output:
���Wˊ�+�5��Qcj�0��DC;�?�G
3) 使用 base64url 编码解码第二部分(响应负载),它应该是具有以下字段的 JSON 对象的字符串表示:**算法 - 始终等于 HMAC-SHA256 **issued_at - 时间的 unix 时间戳发出了这一答复。** player_id - 玩家的唯一标识符。** request_payload - 您在调用 FBInstant.player.getSignedPlayerInfoAsync 时指定的 requestPayload 字符串。
$payload = base64_decode($second_part);
echo $payload;
// Output:
{"algorithm":"HMAC-SHA256","issued_at":1552255768,"player_id":"2059189060823983","request_payload":"pdata"}
4) 使用 HMAC SHA-256 和您的应用程序机密对整个响应负载字符串进行散列,并确认它等于编码签名。
$check = hash_hmac('sha256', $payload, 'xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx', true);
echo $check;
// Output:
n4Q�Kމ`<�?�����tT�~x����L�
我已经花了几个小时来解决这个问题,但无法弄清楚我做错了什么!
解决方案
终于明白了!
我有两个错误:
1) 在对编码签名进行解码以进行检查时,应使用 base64decode URL 而不是常规的 base64decode。所以步骤 2 中的代码应该是这样的:
$first_part = base64_decode(str_replace(array('-', '_'), array('+', '/'), $first_part));
2)生成的哈希应该有原始编码response payload字符串而不是解码字符串。文档对此不是很清楚。所以它应该是这样的:
$check = hash_hmac('sha256', $second_part, $app_secret, true);
通过执行上述操作,解码后的签名将等于生成的哈希中的二进制数据:)
最后检查签名是否有效:
if($first_part == $check){
//valid
}