Comment utiliser Buffer.from() avec crypto.timingSafeEqual() ?

Pour une raison quelconque, je reçois

TypeError [ERR_INVALID_ARG_TYPE]: The first argument must be of type string or an instance of Buffer, ArrayBuffer, or Array or an Array-like Object. Received undefined

des deux arguments à crypto.timingSafeEqual(a, b).

j'ai aussi essayé

const a = Buffer.from(signature, 'utf8').toString('base64');
const b = Buffer.from(expectedSignature, 'utf8').toString('base64');

et j'obtiens la même erreur.

Question

Quelqu'un peut-il comprendre pourquoi les arguments ne sont pas des tampons ?

const express = require("express");
const bodyParser = require("body-parser");
const crypto = require('crypto');
const secret = "x";
const app = express();
const PORT = 8080;
app.use(bodyParser.json());
function isSigOk(request, secret) {
 // calculate the signature
 const expectedSignature = "sha256=" +
 crypto.createHmac("sha256", secret)
.update(JSON.stringify(request.body))
.digest("hex");
 // compare the signature against the one in the request
 const signature = request.headers["X-Hub-Signature-256"];
 const a = Buffer.from(signature);
 const b = Buffer.from(expectedSignature);
 return crypto.timingSafeEqual(a, b);
};
app.post("/", (req, res) => {
 if (isSigOk(req, secret)) {
 // Do stuff here
 } else {
 console.log('Error: Signatures does not match. Return res.status(401)');
 };
 res.status(200).end();
});
// Start express on the defined port
app.listen(PORT, () => console.log(`Github wekhook listening on port ${PORT}`));


Solution du problème

Je vois deux problèmes:

  • Le premier et le principal est qu'il isSigOksuppose qu'il y aura une valeur pour l' "X-Hub-Signature-256"en-tête :

    const signature = request.headers["X-Hub-Signature-256"];
    const a = Buffer.from(signature);

    Cet Buffer.fromappel lancera l'erreur que vous avez citée si signaturec'est undefinedparce que l'en-tête n'est pas là. Vous voudrez probablement revenir falsedans ce cas (et probablement éviter la surcharge de travail sur la signature attendue en réorganisant un peu les choses), voir les ***commentaires et les lignes associées :

    function isSigOk(request, secret) {
     // *** get the signature on this message, if any
     const signature = request.headers["X-Hub-Signature-256"];
     if (!signature) {
     // *** none
     return false;
     }
     // calculate the signature
     const expectedSignature = "sha256=" +
     crypto.createHmac("sha256", secret)
    .update(JSON.stringify(request.body))
    .digest("hex");
     // compare the signature against the one in the request
     const a = Buffer.from(signature);
     const b = Buffer.from(expectedSignature);
     return crypto.timingSafeEqual(a, b);
    };


  • La capitalisation compte. Selon la documentation de Node.js (l'objet d'Express Requsethérite de celui de Node.js IncomingMessage), les noms d'en-tête headerssont en minuscules. Alors request.headers["X-Hub-Signature-256"]devrait être request.headers["x-hub-signature-256"]. (Dans un commentaire, vous avez dit que vous obteniez une valeur, mais le commentaire utilisait toutes les minuscules, alors que le code utilise une casse mixte.) Donc :

    function isSigOk(request, secret) {
     // *** get the signature on this message, if any
     const signature = request.headers["x-hub-signature-256"]; // *** Lowercase
     if (!signature) {
     // *** none
     return false;
     }
     // calculate the signature
     const expectedSignature = "sha256=" +
     crypto.createHmac("sha256", secret)
    .update(JSON.stringify(request.body))
    .digest("hex");
     // compare the signature against the one in the request
     const a = Buffer.from(signature);
     const b = Buffer.from(expectedSignature);
     return a.length === b.length && crypto.timingSafeEqual(a, b);
    };

    Notez la a.length === b.length &&partie de cela. timingSafeEquallancera une erreur si les tampons n'ont pas la même longueur, mais nous voulons plutôt retourner false dans cette situation.

    • Commentaires

    Enregistrer un commentaire

    Posts les plus consultés de ce blog

    Erreur Symfony : "Une exception a été levée lors du rendu d'un modèle"

    j'essaie d'inclure <link href="{{ asset('css/mystyle.css') }}" rel="stylesheet"/> dans mon fichier twig et le rendre. Mais cela me donne une exception PHP non interceptée Twig_Error_Runtime : "Une exception a été levée lors du rendu d'un modèle ("Le fichier manifeste de l'actif "/../public/build/manifest.json" n'existe pas.") ça marche quand j'utilise link href="css/mystyle.css" rel="stylesheet"/> . Voici mon contrôleur: <?php namespace App\Controller; use Symfony\Component\Routing\Annotation\Route; use Symfony\Bundle\FrameworkBundle\Controller\AbstractController; use Symfony\Component\HttpFoundation\Response; class WelcomeController extends AbstractController { /** * @Route("/", name="welcome") */ public function index() { return $this->render('welcome/index.html.twig'); } } Voici mon modèle de brindille : <!doctype html> ...
    Lire la suite

    Détecter les appuis sur les touches fléchées en JavaScript

    Comment détecter l'appui sur l'une des touches fléchées ? J'en ai profité pour savoir: function checkKey(e) { var event = window.event? window.event: e; console.log(event.keyCode) } Bien que cela fonctionnait pour toutes les autres touches, ce n'était pas le cas pour les touches fléchées (peut-être parce que le navigateur est censé faire défiler ces touches par défaut). Solution du problème event.key === "Flèche droite"... Plus récent et beaucoup plus propre: utilisez event.key . Plus de codes numériques arbitraires ! Si vous transpilez ou savez que vos utilisateurs utilisent tous des navigateurs modernes, utilisez ceci ! node.addEventListener('keydown', function(event) { const key = event.key; // "ArrowRight", "ArrowLeft", "ArrowUp", or "ArrowDown" }); Gestion détaillée : switch (event.key) { case "ArrowLeft": // Left pressed break; case "ArrowRight": // Right pressed break; c...
    Lire la suite

    Une chaîne vide donne "Des erreurs ont été détectées dans les arguments de la ligne de commande, veuillez vous assurer que tous les arguments sont correctement définis"

    Image
    Sur un serveur SQL 2016, j'ai un travail qui appelle un package SSIS. Ce package se trouve dans un projet dans la SSISDB et a des paramètres. L'un de ces paramètres est un type de chaîne vide par défaut. J'ai exécuté le travail avec la valeur vide pour ce paramètre, et il s'est exécuté avec succès. J'ai ensuite ouvert les propriétés du travail, je suis allé à l'étape qui appelle ce package et je suis entré dans la configuration et j'ai donné une valeur à ce paramètre. J'ai exécuté à nouveau le travail et il s'est exécuté avec succès, et la valeur du paramètre a eu l'effet attendu sur les résultats. Maintenant, je veux modifier le travail et redéfinir le paramètre sur une chaîne vide. En répétant ce que j'ai fait ci-dessus, j'ouvre la configuration et supprime complètement la valeur du paramètre. Lorsque j'essaie ensuite d'enregistrer les propriétés de l'étape du travail, j'obtiens une boîte de dialogue d'erreur a...
    Lire la suite