Korrekter Weg, um die Signatur von WooCommerce Webhooks zu überprüfen

Question

Ich stoße auf ein seltsames Problem, wenn ich versuche, die Signatur von den WooCommerce Webhooks zu überprüfen. Hier ist der Teil I, die Signatur erstellen verwenden:

verified = crypto.createHmac('SHA256', secret).update(new Buffer(JSON.stringify(body), 'utf8')).digest('base64'); 

Es funktioniert für jeden Webhook mit einem removed Thema, und die Anfrage Körper ist gleich etwas wie folgt aus:

{"id":360} 

Leider ist für jeden Webhook mit einem updated oder created Thema, meine Unterschriften sind nicht das Gleiche. Der Anfragetext ist ebenfalls komplexer.

{"product":{"title":"Test","id":392,"created_at":"2017-02-11T21:40:37Z","updated_at":"2017-02-11T21:40:37Z","type":"simple","status":"publish","downloadable":false,"virtual":false,"permalink":"http://cedrus.ma/chezalfred/livraison/non classu00e9/test/","sku":"","price":"","regular_price":"","sale_price":null,"price_html":"","taxable":true,"tax_status":"taxable","tax_class":"","managing_stock":false,"stock_quantity":null,"in_stock":true,"backorders_allowed":false,"backordered":false,"sold_individually":false,"purchaseable":false,"featured":false,"visible":true,"catalog_visibility":"visible","on_sale":false,"product_url":"","button_text":"","weight":null,"dimensions":{"length":"","width":"","height":"","unit":"cm"},"shipping_required":true,"shipping_taxable":true,"shipping_class":"","shipping_class_id":null,"description":"","short_description":"","reviews_allowed":true,"average_rating":"0.00","rating_count":0,"related_ids":[],"upsell_ids":[],"cross_sell_ids":[],"parent_id":0,"categories":[],"tags":[],"images":[{"id":0,"created_at":"2017-02-11T21:40:40Z","updated_at":"2017-02-11T21:40:40Z","src":"http://cedrus.ma/chezalfred/wp-content/plugins/woocommerce/assets/images/placeholder.png","title":"Etiquette","alt":"Etiquette","position":0}],"featured_src":"","attributes":[],"downloads":[],"download_limit":0,"download_expiry":0,"download_type":"","purchase_note":"","total_sales":0,"variations":[],"parent":[],"grouped_products":[],"menu_order":0}} 

Ich denke, es ist etwas falsch, das mit JSON.stringify geschieht(), wenn die Anforderung Körper komplexer ist.

Was ist der richtige Weg, um die Signatur von WooCommerce Webhooks zu verifizieren?

Answer 1

Ich habe in einem ähnlichen Problem laufen, wie Sie, mit dem gleichen Code (es offenbar für einige Leute arbeitet, wie hier erwähnt: SHA256 webhook signature from WooCommerce never verifies)

Was schließlich für mich gearbeitet wurde die Rohkarosse Wert in einem anderen bekommen Art und Weise, die bodyParser Middleware:
app.use(bodyParser.json({verify:function(req,res,buf){req.rawBody=buf}}))
(Wie erklärt: https://github.com/expressjs/body-parser/issues/83#issuecomment-80784100)

So, jetzt statt mit new Buffer(JSON.stringify(body), 'utf8') benutze ich nur req.rawBody
Ich hoffe, das löst auch deine Probleme.