Acasă Explorează Ajutor
Înregistrare Autentificare
NetTown
/
nettown_backend
2
0
Bifurcare 0
Fisiere Probleme 0 Trageți solicitările 0 Wiki
Ramură: master
Ramuri Etichete
nettown_backend
/
libs
/
Hmac.php

Hmac.php 2.1 KB
Permalink Istoric Crud

123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566 
  1. <?php
    2. 

  2. 

  3. namespace Libs;
    4. 

  4. 

  5. /**
    6. 

  6.  * Assinatura e verificação HMAC-SHA256.
    7. 

  7.  *
    8. 

  8.  * Usado para autenticar webhooks máquina-a-máquina: quem envia calcula
    9. 

  9.  * HMAC_SHA256(corpo, segredo) e manda no header; quem recebe recalcula com o
    10. 

  10.  * mesmo segredo e compara. Como o segredo nunca trafega, só quem o possui
    11. 

  11.  * consegue gerar uma assinatura válida — e qualquer alteração no corpo
    12. 

  12.  * invalida a assinatura.
    13. 

  13.  *
    14. 

  14.  * O segredo é compartilhado entre os dois lados por um canal seguro e, neste
    15. 

  15.  * projeto, é armazenado por empresa (company.company_hmac_secret).
    16. 

  16.  */
    17. 

  17. final class Hmac
    18. 

  18. {
    19. 

  19.     private const ALGO = 'sha256';
    20. 

  20. 

  21.     /**
    22. 

  22.      * Prefixo opcional aceito no header de assinatura (ex.: "sha256=ab12...").
    23. 

  23.      * Muitos emissores usam esse formato; aceitamos com ou sem prefixo.
    24. 

  24.      */
    25. 

  25.     private const PREFIX = 'sha256=';
    26. 

  26. 

  27.     /**
    28. 

  28.      * Gera um novo segredo HMAC forte (32 bytes -> 64 caracteres hexadecimais).
    29. 

  29.      * Deve ser usado ao provisionar a integração de CRM de uma empresa.
    30. 

  30.      */
    31. 

  31.     public static function generateSecret(): string
    32. 

  32.     {
    33. 

  33.         return bin2hex(random_bytes(32));
    34. 

  34.     }
    35. 

  35. 

  36.     /**
    37. 

  37.      * Calcula a assinatura hexadecimal do corpo com o segredo informado.
    38. 

  38.      */
    39. 

  39.     public static function sign(string $body, string $secret): string
    40. 

  40.     {
    41. 

  41.         return hash_hmac(self::ALGO, $body, $secret);
    42. 

  42.     }
    43. 

  43. 

  44.     /**
    45. 

  45.      * Verifica se a assinatura recebida corresponde ao corpo, usando o segredo.
    46. 

  46.      *
    47. 

  47.      * - Rejeita quando segredo ou assinatura estão vazios (config ausente).
    48. 

  48.      * - Aceita a assinatura com ou sem o prefixo "sha256=".
    49. 

  49.      * - Compara em tempo constante (hash_equals) para evitar timing attacks.
    50. 

  50.      */
    51. 

  51.     public static function verify(string $body, string $secret, string $providedSignature): bool
    52. 

  52.     {
    53. 

  53.         if ($secret === '' || $providedSignature === '') {
    54. 

  54.             return false;
    55. 

  55.         }
    56. 

  56. 

  57.         $provided = $providedSignature;
    58. 

  58.         if (str_starts_with($provided, self::PREFIX)) {
    59. 

  59.             $provided = substr($provided, strlen(self::PREFIX));
    60. 

  60.         }
    61. 

  61. 

  62.         $expected = self::sign($body, $secret);
    63. 

  63. 

  64.         return hash_equals($expected, $provided);
    65. 

  65.     }
    66. 

  66. }
    67.