X-Signature是怎么计算的？

[axiangcoding]

如题

[SlimeNull]

文档中提到了, 在 参考/上报签名 一节中, 使用的是 HMAC 签名

[SlimeNull]

关于 X-Signature 的计算方式, 我已经在文档仓库中提交 PR, 但截止到目前, 还没有被 merge, 你可以去看看. (是 C# 代码)

[axiangcoding]

我看源码已经搞清楚了计算方式，文档中描述太差劲了，不过谢谢你的回答

[SlimeNull]

不如一起来补充文档 (x

[axiangcoding]

不如一起来补充文档 (x

有空就做...

[axiangcoding]

补充了内容的构建说明和golang的demo

[axiangcoding]

查看了源码，我给出一个gin middleware的验证方式

// CqhttpAuth 判断X-Self-ID是否和配置项相同，同时当X-Signature存在时，校验签名
// selfQQ 配置的自身qq号
// secert 配置的密钥
func CqhttpAuth(selfQQ string, secret string) gin.HandlerFunc {
	return func(c *gin.Context) {
		hSelfQQ := c.GetHeader("X-Self-ID")
		hSignature := c.GetHeader("X-Signature")
		
		if selfQQ != hSelfQQ {
			// qq参数验证错误
			c.AbortWithStatus(http.StatusUnauthorized)
			return
		}
		if hSignature != "" {
			if secret == "" {
				c.AbortWithStatus(http.StatusUnauthorized)
				return
			}
			// 读取 request body
			body, err := io.ReadAll(c.Request.Body)
			if err != nil {
				c.AbortWithStatus(http.StatusInternalServerError)
				return
			}
			// gin框架中request body只能读取一次，需要复写 request body
			c.Request.Body = io.NopCloser(bytes.NewBuffer(body))
			// 使用密钥计算request body的 hmac码
			mac := hmac.New(sha1.New, []byte(secret))
			if _, err := mac.Write(body); err != nil {
				c.AbortWithStatus(http.StatusInternalServerError)
				return
			}
			// 校验hmac签名
			if "sha1="+hex.EncodeToString(mac.Sum(nil)) != hSignature {
				c.AbortWithStatus(http.StatusUnauthorized)
				return
			}
		}
		c.Next()
	}

}