Stripe webhook 签名失败 - Stripe.net

我正在尝试使用 Jayme Davis 的 C# 库 Stripe.net 来实现 stripe webhook。我已经在条带仪表板中设置了测试端点并生成了秘密。端点命中良好，并将使用 StripeEventUtility.ParseEvent 生成 StripeEvent。问题是使用 ConstructEvent 函数时我无法获得匹配的签名。任何帮助或建议将不胜感激。

isSignaturePresent 返回 false

//call to create event
stripeEvent = ConstructEvent(json, Request.Headers["Stripe-Signature"], 
SecretFromStripeDashBoard);


private StripeEvent ConstructEvent(string json, string 
stripeSignatureHeader, string secret, int tolerance = 300)
    {
        var signatureItems = parseStripeSignature(stripeSignatureHeader);

        var signature = computeSignature(secret, signatureItems["t"].FirstOrDefault(), json);

        if (!isSignaturePresent(signature, signatureItems["v1"]))
            throw new Exception("The signature for the webhook is not present in the Stripe-Signature header.");

        //var utcNow = EpochUtcNowOverride ?? DateTime.UtcNow.ConvertDateTimeToEpoch();
        //var webhookUtc = Convert.ToInt32(signatureItems["t"].FirstOrDefault());

        //if (utcNow - webhookUtc > tolerance)
        //    throw new Exception("The webhook cannot be processed because the current timestamp is above the allowed tolerance.");

        return Mapper<StripeEvent>.MapFromJson(json);
    }

    private ILookup<string, string> parseStripeSignature(string stripeSignatureHeader)
    {
        return stripeSignatureHeader.Trim()
            .Split(',')
            .Select(item => item.Trim().Split('='))
            .ToLookup(item => item[0], item => item[1]);
    }

    private bool isSignaturePresent(string signature, IEnumerable<string> signatures)
    {
        return signatures.Any(key => secureCompare(key, signature));
    }

    private string computeSignature(string secret, string timestamp, string payload)
    {
        var secretBytes = Encoding.UTF8.GetBytes(secret);
        var payloadBytes = Encoding.UTF8.GetBytes($"{timestamp}.{payload}");

        var cryptographer = new HMACSHA256(secretBytes);
        var hash = cryptographer.ComputeHash(payloadBytes);

        return BitConverter.ToString(hash).Replace("-", "").ToLower();
    }

    private bool secureCompare(string a, string b)
    {
        if (a.Length != b.Length) return false;

        var result = 0;

        for (var i = 0; i < a.Length; i++)
        {
            result |= a[i] ^ b[i];
        }

        return result == 0;
    }
}

我在上面的评论中回答了，但回顾一下，问题是json提供给的字符串ConstructEvent方法不包含 Stripe 发送的确切有效负载。

相反，您使用以下方式初始化有效负载：

var json = JsonSerializer.SerializeToString(request);

即您重新序列化了反序列化请求的主体。但是，您不太可能获得与 Stripe 发送的原始有效负载相同的字符串。例如。 Stripe 可以发送以下有效负载：

{
  "a_key": "a_value",
  "another_key": "another_value"
}

但在反序列化+重新序列化之后，您的 JSON 字符串可能包含以下值：

{"another_key": "another_value","a_key": "a_value"}

因为不能保证保持键顺序，并且其他格式选项（换行符、缩进）会发挥作用。

Webhook 签名是使用以下方式生成的exact有效负载（作为原始字符串），因此在验证签名时，您还必须提供由 Web 服务器或框架传递的确切有效负载。