Как проверить подпись мини-приложения в телеграм на сервере?

Question

[Дмитрий Нестеров]

По документации телеграм: https://core.telegram.org/bots/webapps#validating-...

Получится вот такой код (PHP):

$bot_token = ‘ТОКЕН_БОТА';
$data = urldecode($_POST['data']);
$hash = $_POST['hash'];

$data = explode("&", $data);
$new_data = array();
foreach($data as $value) {
    $value_array = explode("=", $value);
    if($value_array[0] == 'hash') {continue;}
    $new_data += array($value_array[0] => $value_array[1]);
}
ksort($new_data);

$array_data = array();
foreach($new_data as $k => $v) {
    array_push($array_data, "$k=$v");
}
$array_data = implode('\n', $array_data);
$secret_key = hash_hmac('sha256', $bot_token, "WebAppData");
if(hash_hmac('sha256', $array_data, $secret_key) == $hash) {
    echo 'ok!';
} else {
    echo ‘error';
}

Запрос из приложения:

$.post( "check", {"data":window.Telegram.WebApp.initData, "hash": window.Telegram.WebApp.initDataUnsafe.hash}, function( data ) {
    alert(data);
});

Хеши при проверке не совпадают. Что не учтено при проверке подписи?

Comments

[psiklop]

Не вникал, но код галимый, его бы упростить до строк 3-4. Начать хотя бы с этого: https://www.php.net/manual/ru/function.parse-str.php

[Дмитрий Нестеров]

psiklop, данные корректно обрабатываются для составления хеша, проверял всё. Скорее всего, после упрощения кода ничего не поменяется. Думаю, что проблема где-то на этапе создания и проверки хеша, но не могу понять, где именно

[psiklop]

Дмитрий Нестеров, это не связано. Хорошо писать никто не отменял. В коде творится какая-то дичь, вертится по кругу без причины. Вообще есть опыт, после рефакторинга находятся еще и случайные ошибки.

[Дмитрий Нестеров]

psiklop, за замечание спасибо, код мне тоже хотелось подкорректировать, но после того, как сравнение ключей заработает, здесь это главное. $array_data формируется как нужно

[psiklop]

Дмитрий Нестеров, не понял с каким хеш сравнивать надо, их два приходит: $_POST['hash'] и $_POST['data']['hash']. И также не понял тут: $array_data = implode('\n', $array_data); если нужен перевод строки тогда нужны двойные кавычки, насколько я знаю.

[Дмитрий Нестеров]

psiklop, 1) эти хеши одинаковые, в документации тг написано 2) также как в документации тг написано, соединить параметры через \n, и пример строки приведён, но с двойными кавычками также не работает, проверял

[psiklop]

Дмитрий Нестеров, ну тем не менее для опытов и размышлений тебе:

echo md5("test\n");
echo md5('test\n');

[Дмитрий Нестеров]

psiklop знаю, что будут разные хеши. Ответил Вам выше, что вариант с двойными кавычками также не работает. Прочитайте, пожалуйста, второй пункт в предыдущем сообщении.

[psiklop]

Дмитрий Нестеров, ну значит нашёл одну ошибку в коде, ищи другие, как видишь это просто ошибки.

Answer 1

[Дмитрий]

Вот здесь рабочий пример кода https://github.com/OxMohsen/validating-data/blob/m... - вы можете просто переписать более красиво.
В качестве начального аргумента нужно использовать уже query-строку от телеграма, а не POST данные по отдельности. Вот тут она описана https://core.telegram.org/bots/webapps#initializin... как initData

Comments

[Дмитрий Нестеров]

Благодарю за ответ! Всё проверю чуть позже.
> В качестве начального аргумента нужно использовать уже query-строку от телеграма, а не POST данные по отдельности.

А разве у меня используется не строка? В $data как раз записывается initData из приложения

[Дмитрий]

Дмитрий Нестеров, да-да, увидел у вас тоже ее. Просто в ответе решил обратить на это внимание.

[Дмитрий Нестеров]

Дмитрий, всё работает, спасибо за помощь!