Как сделать проверку цифровой подписи приложения ВКонтакте?

Question

[Deman1]

Пожалуйста помогите решить проблему, знаю что есть уже такие темы но в них я не нашел ответа на свой вопрос.

Мне нужно сгенерировать цифровую подпись, и вк даёт на пример кода который не работает Пример

$sign = ""; 

foreach ($request->getParams() as $key => $param) { 

    if ($key == 'hash' || $key == 'sign') continue; 

    $sign .=$param; 

} 

$secret = 'SECRET_KEY'; 

$sig = $secret ? hash_hmac('sha256', $sign, $secret) : "";

Но к сожалению php не знает что за функция getParams() и $request null
Ошибка: Fatal error: Uncaught Error: Call to a member function getParams() on null in index.php:4 Stack trace: #0 {main} thrown in index.php on line 4

Порывшись в инете я не фига нормального не нашел кроме этого кода

$url = "https://$_SERVER[HTTP_HOST]$_SERVER[REQUEST_URI]";
$parsed_url = parse_url($url, PHP_URL_QUERY);   
parse_str($parsed_url,$request);

$sign = ""; 
foreach ($request as $key => $param) { 

    if ($key == 'hash' || $key == 'sign') continue; 

    $sign .=$param; 

} 
$secret = 'Защищенный_Ключ'; 
$sig = $secret ? hash_hmac('sha256', $sign, $secret) : ""; 
$result = ($sig === $_GET['sign']) ? "Сходятся" : "Не сходятся";

Человек который сделал его у него получилось но он оказался опять же не рабочий или он его скинул не весь, так как $_GET['sign'] имеет null и не передаётся вк по этому я решил проверять с $sign но там код который содержит 326 символов, а ключ который генерируется в $sig он 64 символов.

Прошу помогите это решить, пожалуйста дайте рабочий код который сгенерирует мне правильный код для проверки цифровой подписи.

Answer 1

[Сергей Соколов]

замените

foreach ($request->getParams() as $key => $param) {

на
foreach ($_REQUEST as $key => $param) {

Пример моего кода, который сейчас проверил, подписи совпадают:

$sign = "";
	
	foreach($_REQUEST AS $key => $param) {
	
	    if ($key == 'hash' || $key == 'sign') continue;
	
	    $sign .=$param;
	
	}
	
	$secret = '3iiyZNDFaXgR6yZMxK'; // Настройки приложения – Защищённый ключ
	
	$sig = $secret ? hash_hmac('sha256', $sign, $secret) : ""; 
	
	if( $sig === $_REQUEST['sign']) {
		echo "Подписи совпали.";
	} else {
		echo "Разные подписи, не хорошо.";
	}

Comments

[Deman1]

Я поменял только я не понимаю как проверку сделать данные разные выходят

[Сергей Соколов]

Deman1, сейчас проверил, подписи совпадают. Обновляю ответ примером кода.

[Deman1]

Сергей Соколов, У меня $_REQUEST['sign'] несёт NULL

[Deman1]

Сергей Соколов, Ктомуже вк не передаёт sign, все данные которые передаёт приложения указаны тут

[Сергей Соколов]

в вопросе вы привели ссылку на приложение сообщества, там параметр sign присутствует. Теперь в комментарии вы ссылаетесь на авторизацию iframe (встраиваемых) приложений, это другой тип, другая схема.
Так какое из двух приложений у вас?

[Deman1]

Сергей Соколов, iframe, ту ссылку мне дала поддержка контакта чтобы я по её схеме наладил приложение для подписи, что мне вообще нужно, у меня есть игра, я хочу через iframe подключить к вк для защиты чтобы пользователь не указал сам данные делать цифровую подпись

[Сергей Соколов]

Это ваш же вопрос? Как реализовать iframe ВК цифровая подпись?

Вы хотите убедиться что пользователь именно тот, чей ID указан в запросе, или сложнее, что все остальные переданные параметры тоже не подделаны?

[Deman1]

Сергей Соколов, Нет, да я хочу проверить все данные

[Сергей Соколов]

Deman1, прочие параметры получайте сервером напрямую у ВК. Пользователь может подделать всё, что через него проходит.

[Deman1]

Сергей Соколов, Хорошо спасибо