我尝试将验证码重写为JS + cryptoJS:
var secret_key = CryptoJS.HmacSHA256(bot.token, "WebAppData");
var key = CryptoJS.HmacSHA256(initData, secret_key)
// initData it is - Telegram.WebApp.initData
if(key==hash){
// validated
}
// I have also tried converting 'key' to hex:
key = key.toString(CryptoJS.enc.Hex);
key == hash // always false too
但我的验证总是错误的。
需要什么修复?
Aiogramimport HmacSHA256 from "crypto-js/hmac-sha256";
import Hex from "crypto-js/enc-hex";
function checkWebAppSignature(token, initData) {
// It is not clear from the documentation weather is URL
// escaped or not, maybe you will need to uncomment this
// initData = decodeURIComponent(initData)
// Parse URL Query
const q = new URLSearchParams(initData);
// Extract the hash
const hash = q.get("hash");
// Re encode in accordance to the documentation. Remember
// to remove hash before.
q.delete("hash");
const v = Array.from(q.entries());
v.sort(([aN, aV], [bN, bV]) => aN.localeCompare(bN));
const data_chack_string = v.map(([n, v]) => `${n}=${v}`).join("\n");
// Perform the algorithm provided with the documentation
var secret_key = HmacSHA256(token, "WebAppData").toString(Hex);
var key = HmacSHA256(data_chack_string, secret_key).toString(Hex);
return key === hash;
}
这是一个沙盒
老实说,文档很扭曲,可以改进。但是对于可能发生的事情有一些暗示。
要验证通过 Web 应用程序接收到的数据,应将 Telegram.WebApp.initData 字段中的数据发送到机器人的后端。数据是一个query string,它由一系列字段值对组成。
Data-check-string 是所有接收字段的链,按字母顺序排序,格式为 key= 带换行符 (' ', 0x0A) 用作分隔符 ...
所以
initDataname=One&surname=Twodata_check_stringname=One\nsurname=Two文档中没有详细说明,但是
initDatahashname=One&surname=Two&...&hash=...initDataAiogram在计算hash进行比较之前,您需要从
initData也许这不是你所需要的,但你仍然可以在 PHP 中检查 initData。在这里我找到了一个很好的解决方案TgWebValid
function transformInitData(initData) { return Object.fromEntries(new URLSearchParams(initData));} async function validate(data, botToken) { const encoder = new TextEncoder() const checkString = await Object.keys(data) .filter((键)=>键!==“哈希”).map((键)=>
${key}=${data[key]}