[已解决]用Python实现Gitee的webhook出问题了

如默

如题，我用Python实现gitee的webhook，用的是flask，代码如下：

1. import os
   
2. import time
   
3. import hmac
   
4. import hashlib
   
5. import base64
   
6. import urllib
   
7. from flask import Flask, request
   
8. 
   
9. app = Flask(__name__)
   
10. 
    
11. SECRET = 'mySecret'  # 替换为您的签名密钥
    
12. 
    
13. def generate_signature(timestamp):
    
14.     timestamp_str = str(timestamp)
    
15.     secret_enc = SECRET.encode('utf-8')
    
16.     string_to_sign = '{}\n{}'.format(timestamp_str, SECRET)
    
17.     string_to_sign_enc = string_to_sign.encode('utf-8')
    
18.     hmac_code = hmac.new(secret_enc, string_to_sign_enc, digestmod=hashlib.sha256).digest()
    
19.     signature = urllib.parse.quote_plus(base64.b64encode(hmac_code))
    
20.     # signature = base64.b64encode(hmac_code).decode()
    
21.     # url_encoded_signature = urllib.parse.quote(signature, safe='')
    
22.     return signature
    
23. 
    
24. @app.route('/webhook', methods=['POST'])
    
25. def handle_webhook():
    
26.     # 验证请求来源是否是Gitee
    
27.     if request.headers.get('User-Agent') == 'git-oschina-hook':
    
28.         # 验证签名
    
29.         timestamp = int(request.headers.get('X-Gitee-Timestamp'))
    
30.         actual_signature = request.headers.get('X-Gitee-Token')
    
31.         expected_signature = generate_signature(timestamp)
    
32.         if actual_signature != expected_signature:
    
33.             return '', 403  # 返回拒绝访问状态码
    
34. 
    
35.         # 在这里编写处理Webhook请求的代码逻辑
    
36.         data = request.json
    
37.         print('Received webhook request:', data)
    
38.         # 执行 git pull、pnpm install 和 pnpm build 等操作
    
39.         # ...
    
40. 
    
41.         return '', 200  # 返回成功状态码
    
42.     else:
    
43.         return '', 403  # 返回拒绝访问状态码
    
44. 
    
45. if __name__ == '__main__':
    
46.     app.run(host='0.0.0.0', port=3002)
    

复制代码

放在服务器上运行之后，在gitee的后台测试，发现报403错误，gitee的返回的token信息如下：uinoZjLDU4UB97wNM1xNB1XCAuTA5Urk8BKYrSxc1g0=

下面是完整的返回的header信息

1. Request URL: https://xxx.com/webhook
   
2. Request Method: POST
   
3. X-Gitee-Token: uinoZjLDU4UB97wNM1xNB1XCAuTA5Urk8BKYrSxc1g0=
   
4. X-Gitee-Event: push_hooks
   
5. User-Agent: git-oschina-hook
   
6. X-Gitee-Timestamp: 1698328784458
   
7. X-Gitee-Ping: true
   
8. Content-Type: application/json
   
9. X-Git-Oschina-Event: push_hooks

复制代码

查看flask的运行日志，得到的日志内容是：

1. 127.0.0.1 - - [26/Oct/2023 21:59:44] "POST /webhook?sign=uinoZjLDU4UB97wNM1xNB1XCAuTA5Urk8BKYrSxc1g0%3D&timestamp=1698328784458 HTTP/1.1" 403 -

复制代码

可以看到token是不一致的，差了一个=号，不知道为什么，官方文档的地址是：https://help.gitee.com/webhook/how-to-verify-webhook-keys

哪位大佬能帮忙看看啊，实在不知道啥问题了，唉

最佳答案

月排行榜 / 总排行榜

isdkz

2023-10-26 23:49:38

如默 发表于 2023-10-26 22:22
唉，还是不行啊，这是代码：

1. import os
   
2. import time
   
3. import hmac
   
4. import hashlib
   
5. import base64
   
6. import urllib
   
7. from flask import Flask, request
   
8. 
   
9. app = Flask(__name__)
   
10. 
    
11. SECRET = 'mySecret'  # 替换为您的签名密钥
    
12. 
    
13. def generate_signature(timestamp):
    
14.     timestamp_str = str(timestamp)
    
15.     secret_enc = SECRET.encode('utf-8')
    
16.     string_to_sign = '{}\n{}'.format(timestamp_str, SECRET)
    
17.     string_to_sign_enc = string_to_sign.encode('utf-8')
    
18.     hmac_code = hmac.new(secret_enc, string_to_sign_enc, digestmod=hashlib.sha256).digest()
    
19.     signature = base64.b64encode(hmac_code).decode()
    
20.     return signature
    
21. 
    
22. @app.route('/webhook', methods=['POST'])
    
23. def handle_webhook():
    
24.     # 验证请求来源是否是Gitee
    
25.     if request.headers.get('User-Agent') == 'git-oschina-hook':
    
26.         # 验证签名
    
27.         timestamp = int(request.headers.get('X-Gitee-Timestamp'))
    
28.         actual_signature = request.headers.get('X-Gitee-Token')
    
29.         expected_signature = generate_signature(timestamp)
    
30.         if actual_signature != expected_signature:
    
31.             return '', 403  # 返回拒绝访问状态码
    
32. 
    
33.         # 在这里编写处理Webhook请求的代码逻辑
    
34.         data = request.json
    
35.         print('Received webhook request:', data)
    
36.         # 执行 git pull、pnpm install 和 pnpm build 等操作
    
37.         # ...
    
38. 
    
39.         return '', 200  # 返回成功状态码
    
40.     else:
    
41.         return '', 403  # 返回拒绝访问状态码
    
42. 
    
43. if __name__ == '__main__':
    
44.     app.run(host='0.0.0.0', port=3002)
    

复制代码

跳转到最佳答案楼层

isdkz

问题出在对生成的签名进行url编码时，使用了错误的方法。在代码中，使用了 urllib.parse.quote_plus 对签名进行url编码，而实际上应该使用 urllib.parse.quote 方法。



正确的代码如下：

1. import os
   
   
2. import time
   
   
3. import hmac
   
   
4. import hashlib
   
   
5. import base64
   
   
6. import urllib
   
   
7. from flask import Flask, request
   
   
8. 
   
   
9. app = Flask(__name__)
   
   
10. 
    
    
11. SECRET = 'mySecret'  # 替换为您的签名密钥
    
    
12. 
    
    
13. def generate_signature(timestamp):
    
    
14.     timestamp_str = str(timestamp)
    
    
15.     secret_enc = SECRET.encode('utf-8')
    
    
16.     string_to_sign = '{}\n{}'.format(timestamp_str, SECRET)
    
    
17.     string_to_sign_enc = string_to_sign.encode('utf-8')
    
    
18.     hmac_code = hmac.new(secret_enc, string_to_sign_enc, digestmod=hashlib.sha256).digest()
    
    
19.     signature = urllib.parse.quote(base64.b64encode(hmac_code), safe='')
    
    
20.     return signature
    
    
21. 
    
    
22. @app.route('/webhook', methods=['POST'])
    
    
23. def handle_webhook():
    
    
24.     # 验证请求来源是否是Gitee
    
    
25.     if request.headers.get('User-Agent') == 'git-oschina-hook':
    
    
26.         # 验证签名
    
    
27.         timestamp = int(request.headers.get('X-Gitee-Timestamp'))
    
    
28.         actual_signature = request.headers.get('X-Gitee-Token')
    
    
29.         expected_signature = generate_signature(timestamp)
    
    
30.         if actual_signature != expected_signature:
    
    
31.             return '', 403  # 返回拒绝访问状态码
    
    
32. 
    
    
33.         # 在这里编写处理Webhook请求的代码逻辑
    
    
34.         data = request.json
    
    
35.         print('Received webhook request:', data)
    
    
36.         # 执行 git pull、pnpm install 和 pnpm build 等操作
    
    
37.         # ...
    
    
38. 
    
    
39.         return '', 200  # 返回成功状态码
    
    
40.     else:
    
    
41.         return '', 403  # 返回拒绝访问状态码
    
    
42. 
    
    
43. if __name__ == '__main__':
    
    
44.     app.run(host='0.0.0.0', port=3002)
    
    

复制代码

通过使用 urllib.parse.quote 方法对签名进行url编码，并指定 safe 参数为空，可以正确地生成签名字符串。这样，Gitee的返回的token信息与生成的签名就能匹配上了，从而解决了403错误的问题。

isdkz

币

如默

isdkz 发表于 2023-10-26 22:13
问题出在对生成的签名进行url编码时，使用了错误的方法。在代码中，使用了 urllib.parse.quote_plus 对签名 ...

我试试

如默

isdkz 发表于 2023-10-26 22:13
问题出在对生成的签名进行url编码时，使用了错误的方法。在代码中，使用了 urllib.parse.quote_plus 对签名 ...

唉，还是不行啊，这是代码：

1. import os
   
2. import time
   
3. import hmac
   
4. import hashlib
   
5. import base64
   
6. import urllib
   
7. from flask import Flask, request
   
8. 
   
9. app = Flask(__name__)
   
10. 
    
11. SECRET = 'mySecret'  # 替换为您的签名密钥
    
12. 
    
13. def generate_signature(timestamp):
    
14.     timestamp_str = str(timestamp)
    
15.     secret_enc = SECRET.encode('utf-8')
    
16.     string_to_sign = '{}\n{}'.format(timestamp_str, SECRET)
    
17.     string_to_sign_enc = string_to_sign.encode('utf-8')
    
18.     hmac_code = hmac.new(secret_enc, string_to_sign_enc, digestmod=hashlib.sha256).digest()
    
19.     signature = urllib.parse.quote(base64.b64encode(hmac_code), safe='')
    
20.     # signature = base64.b64encode(hmac_code).decode()
    
21.     # url_encoded_signature = urllib.parse.quote(signature, safe='')
    
22.     return signature
    
23. 
    
24. @app.route('/webhook', methods=['POST'])
    
25. def handle_webhook():
    
26.     # 验证请求来源是否是Gitee
    
27.     if request.headers.get('User-Agent') == 'git-oschina-hook':
    
28.         # 验证签名
    
29.         timestamp = int(request.headers.get('X-Gitee-Timestamp'))
    
30.         actual_signature = request.headers.get('X-Gitee-Token')
    
31.         expected_signature = generate_signature(timestamp)
    
32.         if actual_signature != expected_signature:
    
33.             return '', 403  # 返回拒绝访问状态码
    
34. 
    
35.         # 在这里编写处理Webhook请求的代码逻辑
    
36.         data = request.json
    
37.         print('Received webhook request:', data)
    
38.         # 执行 git pull、pnpm install 和 pnpm build 等操作
    
39.         # ...
    
40. 
    
41.         return '', 200  # 返回成功状态码
    
42.     else:
    
43.         return '', 403  # 返回拒绝访问状态码
    
44. 
    
45. if __name__ == '__main__':
    
46.     app.run(host='0.0.0.0', port=3002)
    

复制代码

这是flask日志：

1. 127.0.0.1 - - [26/Oct/2023 22:20:08] "POST /webhook?sign=%200CTC8AsNbKn%20SZde1kyMYsnIP0b6nJ8IWoO7pqn754%3D&timestamp=1698330008081 HTTP/1.1" 403 -

复制代码

这是Gitee后台header信息：

1. Request URL: https://xxx.com/webhook
   
2. Request Method: POST
   
3. X-Gitee-Token: +0CTC8AsNbKn+SZde1kyMYsnIP0b6nJ8IWoO7pqn754=
   
4. X-Gitee-Event: push_hooks
   
5. User-Agent: git-oschina-hook
   
6. X-Gitee-Timestamp: 1698330008081
   
7. X-Gitee-Ping: true
   
8. Content-Type: application/json
   
9. X-Git-Oschina-Event: push_hooks

复制代码

如默

isdkz 发表于 2023-10-26 22:13
问题出在对生成的签名进行url编码时，使用了错误的方法。在代码中，使用了 urllib.parse.quote_plus 对签名 ...

才发现，你说的这个我之前就试过了，代码里面注释了，唉，难顶

isdkz

如默 发表于 2023-10-26 22:22
唉，还是不行啊，这是代码：

1. import os
   
2. import time
   
3. import hmac
   
4. import hashlib
   
5. import base64
   
6. import urllib
   
7. from flask import Flask, request
   
8. 
   
9. app = Flask(__name__)
   
10. 
    
11. SECRET = 'mySecret'  # 替换为您的签名密钥
    
12. 
    
13. def generate_signature(timestamp):
    
14.     timestamp_str = str(timestamp)
    
15.     secret_enc = SECRET.encode('utf-8')
    
16.     string_to_sign = '{}\n{}'.format(timestamp_str, SECRET)
    
17.     string_to_sign_enc = string_to_sign.encode('utf-8')
    
18.     hmac_code = hmac.new(secret_enc, string_to_sign_enc, digestmod=hashlib.sha256).digest()
    
19.     signature = base64.b64encode(hmac_code).decode()
    
20.     return signature
    
21. 
    
22. @app.route('/webhook', methods=['POST'])
    
23. def handle_webhook():
    
24.     # 验证请求来源是否是Gitee
    
25.     if request.headers.get('User-Agent') == 'git-oschina-hook':
    
26.         # 验证签名
    
27.         timestamp = int(request.headers.get('X-Gitee-Timestamp'))
    
28.         actual_signature = request.headers.get('X-Gitee-Token')
    
29.         expected_signature = generate_signature(timestamp)
    
30.         if actual_signature != expected_signature:
    
31.             return '', 403  # 返回拒绝访问状态码
    
32. 
    
33.         # 在这里编写处理Webhook请求的代码逻辑
    
34.         data = request.json
    
35.         print('Received webhook request:', data)
    
36.         # 执行 git pull、pnpm install 和 pnpm build 等操作
    
37.         # ...
    
38. 
    
39.         return '', 200  # 返回成功状态码
    
40.     else:
    
41.         return '', 403  # 返回拒绝访问状态码
    
42. 
    
43. if __name__ == '__main__':
    
44.     app.run(host='0.0.0.0', port=3002)
    

复制代码

如默

isdkz 发表于 2023-10-26 23:49

感谢，这个代码跑成功了，还是想请教一下，我看后台的日志，输出的内容还是和之前一样的，但这次就返回200，想请教一下为什么

isdkz

如默 发表于 2023-10-27 09:02
感谢，这个代码跑成功了，还是想请教一下，我看后台的日志，输出的内容还是和之前一样的，但这次就返回20 ...

在请求头的内容没有url编码，所以我把url编码去掉了

如默

isdkz 发表于 2023-10-27 09:10
在请求头的内容没有url编码，所以我把url编码去掉了

那这官方文档误人子弟啊，文档上写的要urlencode，结果他自己的请求头没有urlencode，导致我匹配不上。

isdkz

如默 发表于 2023-10-27 10:52
那这官方文档误人子弟啊，文档上写的要urlencode，结果他自己的请求头没有urlencode，导致我匹配不上。

看你是从哪里取他传的签名密钥了，如果你是从 url 参数那里取的就要 url 编码，如果你是从请求头那里取出来的就不用

如默

isdkz 发表于 2023-10-27 10:56
看你是从哪里取他传的签名密钥了，如果你是从 url 参数那里取的就要 url 编码，如果你是从请求头那里取出 ...

gitee后台的日志啊，


她后台返回的这个数据，显然是请求头的，而我给她发的数据是拼在url里的，所以对不上，因为她的这个没有url编码，很无语。

isdkz

如默 发表于 2023-10-27 11:04
gitee后台的日志啊，

他在请求头和url参数都传了签名的，flask的运行日志中 sign 参数就是他在 url 中传的签名

如默

isdkz 发表于 2023-10-27 11:09
他在请求头和url参数都传了签名的，flask的运行日志中 sign 参数就是他在 url 中传的签名

那之前为什么不对呢，一直返回403，这不是代码校验的时候错误吗？

如默

剩下的回帖奖励呢，怎么没人要了

陈勃

陈勃

哇喔，

陈勃

陈勃

育碧

陈勃