最近使用 Egg.js 搭建了一套类似于 Jenkins 自动发版的服务,集成了 gitee WebHook ,在 push 代码的时候触发 WebHook 实现代码的自动 pull 和构建发版,其中比较关键的就是 gitee WebHook签名密钥请求鉴权 ,踩了一些坑,记录下来。
一、前言
接入 gitee WebHook,可通过 WebHook 密码 进行鉴权,或通过 签名密钥 生成请求签名进行鉴权。
因为密码鉴权比较简单也不是很安全,所以采用采用 签名密钥 的形式鉴权。
二、生成签名密钥
密钥是一段字符串,既然是密钥,那就最好用 md5 加密一下,可以保证密钥长度是固定的 32 位。
代码 1:
1 | |
三、签名鉴权
Gitee WebHook 官方算法步骤:
- Step1:把
timestamp+"\n"+ 密钥当做签名字符串,使用 HmacSHA256 算法计算签名。 - Setp2:对上述得到的结果进行
Base64 encode。
- 在触发 webHook 钩子后,会向配置的
webHook URL发送一个 POST 请求,请求信息大概如下:
1 | |
- 以下两个信息在请求的 header 中,比较重要,后边签名鉴权需要用到
X-Gitee-Token: 这个就是 密钥签名 token
X-Gitee-Timestamp: 当前时间戳,单位是毫秒,与请求调用时间误差不能超过 1 小时,请求时需和密钥一并发送。
- 因为 X-Gitee-Token 无法反解密,所以只能按照官方的加密算法步骤生成一个 token,与 X-Gitee-Token 进行对比,如果是一致的,则鉴权通过,否则,就鉴权失败。
代码 2:
1 | |
参数说明:
secret: 签名密钥,代码 1 生成的 secret
timestamp: header中的 X-Gitee-Timestamp ,自行解析
token: header中的 X-Gitee-Token ,自行解析
这样就能调用 verifyGiteeToken 函数进行签名鉴权了,记得正确✅传参。
Gitee WebHook 签名生成算法文档:https://help.gitee.com/webhook/how-to-verify-webhook-keys
欢迎访问:天问博客
本文作者: Tiven
发布时间: 2023-08-14
最后更新: 2023-08-15
本文标题: nodejs实现gitee WebHook签名密钥请求鉴权
本文链接: https://www.tiven.cn/p/99c562df/
版权声明: 本作品采用 CC BY-NC-SA 4.0 许可协议进行许可。转载请注明出处!
发布时间: 2023-08-14
最后更新: 2023-08-15
本文标题: nodejs实现gitee WebHook签名密钥请求鉴权
本文链接: https://www.tiven.cn/p/99c562df/
版权声明: 本作品采用 CC BY-NC-SA 4.0 许可协议进行许可。转载请注明出处!
'%3E%3Cpath fill-rule='evenodd' clip-rule='evenodd' d='M33.232 28.434a2.5 2.5 0 001.768.733 1.667 1.667 0 010 3.333H5a1.667 1.667 0 110-3.333 2.5 2.5 0 002.5-2.5v-8.104A13.262 13.262 0 0118.333 5.122V1.667a1.666 1.666 0 113.334 0v3.455A13.262 13.262 0 0132.5 18.563v8.104a2.5 2.5 0 00.732 1.767zM16.273 35h7.454a.413.413 0 01.413.37 4.167 4.167 0 11-8.28 0 .417.417 0 01.413-.37z' fill='%23BDC4CB'/%3E%3C/g%3E%3Cdefs%3E%3CclipPath id='clip0'%3E%3Cpath fill='%23fff' d='M0 0h40v40H0z'/%3E%3C/clipPath%3E%3C/defs%3E%3C/svg%3E)
