[LAVA Business API & FastAPI] Webhook Signature verification

Toil · Mar 17, 2023

Уже, все, возможные, варианты перепробовал, и всё, никак, не могу понять, почему не совпадает сигнатура, которая приходит с ответом и генерируемая мной на сервере.

Делаю всё по оф. докам, но в них не сильно понятно на счёт момента с генерацией подписи для проверки вебхука, понял, только, то, что используется та же функция, что и для подписи запроса, но, только, с помощью доп. ключа (в коде - LAVA_SECRET2), а не основного. Всё сделал - не работает. И самое странное, что, этот же, код (sign_hmac_sha256), отлично работает для подписи запроса на выставление счета на оплату и запрос проходит.

Имеется, такой, код вебхука проверки оплаты (прикреплена упрощенная версия, где убран функционал, который идет, уже после проверки на сигнатуру):
# /api/callback/lava
@router.post('/lava', summary = 'Callback for lava payments')
async def index(data: LavaRequest, signature = Header(default="", alias="Authorization")):
"""Callback for lava payments"""
log.debug(locals())
if signature and data:
if data.status != 'success':
log.debug('privilege not yet been paid')
return JSONResponse(content = {'error': 'Privilege has not yet been paid'}, status_code = status.HTTP_402_PAYMENT_REQUIRED)

secret2 = os.environ.get('LAVA_SECRET2')
server_sign = sign_hmac_sha256(data.dict(), secret2) # сортировка словаря тоже не помогает

log.debug(server_sign)
if server_sign != signature:
log.debug('wrong sign')
return JSONResponse(content = {'error': 'Wrong sign'}, status_code = status.HTTP_403_FORBIDDEN)
...
return JSONResponse(content = {'error': 'Request is wrong'}, status_code = status.HTTP_403_FORBIDDEN)

Python
# /api/callback/lava

@router.post('/lava', summary = 'Callback for lava payments')

async def index(data: LavaRequest, signature = Header(default="", alias="Authorization")):

    """Callback for lava payments"""

    log.debug(locals())

    if signature and data:

        if data.status != 'success':

            log.debug('privilege not yet been paid')

            return JSONResponse(content = {'error': 'Privilege has not yet been paid'}, status_code = status.HTTP_402_PAYMENT_REQUIRED)



        secret2 = os.environ.get('LAVA_SECRET2')

        server_sign = sign_hmac_sha256(data.dict(), secret2) # сортировка словаря тоже не помогает



        log.debug(server_sign)

        if server_sign != signature:

            log.debug('wrong sign')

            return JSONResponse(content = {'error': 'Wrong sign'}, status_code = status.HTTP_403_FORBIDDEN)

        ...

    return JSONResponse(content = {'error': 'Request is wrong'}, status_code = status.HTTP_403_FORBIDDEN)
Код класса LavaRequest (полностью совпадает с "request.json()", поэтому проблема явно не в нем):
from pydantic import BaseModel

class LavaRequest(BaseModel):
invoice_id: str
status: str
pay_time: str
amount: str
order_id: str
pay_service: str
payer_details: str
custom_fields: str
type: int
credited: str

Python
from pydantic import BaseModel





class LavaRequest(BaseModel):

    invoice_id: str

    status: str

    pay_time: str

    amount: str

    order_id: str

    pay_service: str

    payer_details: str

    custom_fields: str

    type: int

    credited: str
Код функции "sign_hmac_sha256" (при генерации ссылки на оплату всё нормально работает, поэтому, мне кажется, что дело, так же, не в этой функции):
import hmac
import json
from hashlib import md5, sha1, sha256

def sign_hmac_sha256(data: dict, secret: str):
json_str = json.dumps(data).encode()
return hmac.new(bytes(secret, 'UTF-8'), json_str, sha256).hexdigest()

Python
import hmac

import json

from hashlib import md5, sha1, sha256





def sign_hmac_sha256(data: dict, secret: str):

    json_str = json.dumps(data).encode()

    return hmac.new(bytes(secret, 'UTF-8'), json_str, sha256).hexdigest()
Входящие данные (тип: json; значения invoice_id, order_id, payer_details отредактированы, дабы не палить реальные данные запроса) :
{
'invoice_id': '11c57588-625f-4c37-bf09-71596539bb07',
'status': 'success',
'pay_time': '2023-03-16 23:50:40',
'amount': '15.00',
'order_id': '1s53g797e3211f73a7d11992b8cedd76',
'pay_service': 'card',
'payer_details': '111999******1199',
'custom_fields': '11,15,idToil,#TESTTEXT',
'type': 1,
'credited': '14.62'
}

JS
{

   'invoice_id': '11c57588-625f-4c37-bf09-71596539bb07',

   'status': 'success',

   'pay_time': '2023-03-16 23:50:40',

   'amount': '15.00',

   'order_id': '1s53g797e3211f73a7d11992b8cedd76',

   'pay_service': 'card',

   'payer_details': '111999******1199',

   'custom_fields': '11,15,idToil,#TESTTEXT',

   'type': 1,

   'credited': '14.62'

}
Может быть, кто-нибудь может помочь советом - что я делаю не так, или подсказать, где найти какой-нибудь пример вебхука для лавы с новым апи. Всё перерыл, но ничего не нашёл, кроме лава сдк для пхп, где по сути, код такой же (там, используется сортировка ключей словаря (ksort) - пробовал создавать сигнатуру, тоже, с сортировкой ключей, но, всё равно, получается не правильная сигнатура)
def sort_dict(data: dict):
sorted_tuple = sorted(data.items(), key=lambda x: x[0])
return dict(sorted_tuple)

Python
def sort_dict(data: dict):

    sorted_tuple = sorted(data.items(), key=lambda x: x[0])

    return dict(sorted_tuple)

Toil · Mar 17, 2023

Нашёл, всё, таки, в чем была проблема. Проблема была в том, что json.dumps автоматически ставит пробелы и получается вот такая строка:
{"amount": "15.00", "credited": "14.62", "custom_fields": ...}

Code
{"amount": "15.00", "credited": "14.62", "custom_fields": ...}
в то время, когда она должна быть такой (без пробелов):
{"amount":"15.00","credited":"14.62","custom_fields":...}

Code
{"amount":"15.00","credited":"14.62","custom_fields":...}
Как же я это решил? Добавил "separators=(',', ':')" в функцию json.dumps:
def sign_hmac_sha256(data: dict, secret: str):
json_str = json.dumps(data, separators=(',', ':')).encode()
return hmac.new(bytes(secret, 'UTF-8'), json_str, sha256).hexdigest()

Python
def sign_hmac_sha256(data: dict, secret: str):

    json_str = json.dumps(data, separators=(',', ':')).encode()

    return hmac.new(bytes(secret, 'UTF-8'), json_str, sha256).hexdigest()
Надеюсь этот ответ, кому-то в будущем поможет, кто так же столкнется с этим
P.S:. так же, словарь должен быть отсортированным

How to solve reCaptcha in python now?

Tg bot parser new orders BYBIT

Telegram-Market-Bot |

Bot for Starvell | The very first bot for the service

Cleaning up our topics in offtopic | Other sections are also possible

Recommend the best book on python development

Error401 from контора, которая скоро лопнет

Opentele2 - revival of the legendary library for working with Telethon sessions

Bot for giving hidden gifts TG

Emunium - Browser automation without CDP bWebDriver

Cryptoscan - Python Library for Monitoring (Reception) Crypto Payments

Removing your Telegram messages from these chats

Refusing SMS messages with Android in Telegram bot

Funpay Hub - the new best opensource bot for Funpay

AutoStars - Funpay Hub plugin for automatic sale of Telegram stars.

Playerok Universal - the first free bot for the Playerok trading platform

Are there any quick v2 recaptcha solvers now?

[Review] The Future of Dating: Testing My Scripted AI Bot

I cant find an API for downloading tracks

With headless the captcha appears, without it it doesn’t and everything is ok

What is the best framework to use to write auto-registered agents/checkers?

DRAIN | Funpay Cardinal Plugin - AutoRentRoblox | Auto-rental of ROBLOX VIP servers on Funpay

How to detect a self-destructing message in a TG?

Python - you need to bypass captcha in a telegram bot, how to implement it?

AIogram | Telegram slowdown

Funpay Bot Engine is a modern asynchronous framework for creating Funpay bots.

Is it possible to find out the balance of stars using telethon?

Where can I host a TG bot for free in Python?

How to bypass challenge and captcha protection from cloudflare?

What to do with the likee parser?

[LAVA Business API & FastAPI] Webhook Signature verification