从Shopify Webhook验证HMAC (使用Hapijs)

Shopify Webhook是Shopify平台提供的一种机制，用于在特定事件发生时向外部应用程序发送HTTP请求。这些事件可以是订单创建、产品更新等。为了确保接收到的Webhook请求是来自Shopify平台的有效请求，需要对请求进行验证。

HMAC（Hash-based Message Authentication Code）是一种基于哈希函数的消息认证码，用于验证消息的完整性和真实性。在验证Shopify Webhook的HMAC时，需要使用Hapijs框架进行处理。

下面是验证Shopify Webhook HMAC的步骤：

获取Shopify Webhook请求中的HMAC和其他相关参数，包括请求头、请求体等。
使用密钥（由Shopify提供）和请求体计算出一个新的HMAC。
将计算得到的HMAC与请求中的HMAC进行比较，如果相同，则表示请求是有效的。

以下是使用Hapijs进行验证的示例代码：

const Hapi = require('@hapi/hapi');
const crypto = require('crypto');

const server = Hapi.server({
  port: 3000,
  host: 'localhost'
});

server.route({
  method: 'POST',
  path: '/webhook',
  handler: (request, h) => {
    const hmacHeader = request.headers['x-shopify-hmac-sha256'];
    const requestBody = request.payload;

    // 使用密钥和请求体计算HMAC
    const secret = 'your_shopify_webhook_secret';
    const calculatedHmac = crypto
      .createHmac('sha256', secret)
      .update(requestBody, 'utf8')
      .digest('base64');

    // 比较计算得到的HMAC与请求中的HMAC
    if (hmacHeader === calculatedHmac) {
      // HMAC验证通过，处理Webhook请求
      console.log('Valid webhook request');
      return h.response().code(200);
    } else {
      // HMAC验证失败，拒绝请求
      console.log('Invalid webhook request');
      return h.response().code(401);
    }
  }
});

async function startServer() {
  try {
    await server.start();
    console.log('Server running at:', server.info.uri);
  } catch (err) {
    console.log('Error starting server:', err);
  }
}

startServer();

在上述代码中，我们使用x-shopify-hmac-sha256请求头获取到Shopify Webhook请求中的HMAC。然后，使用密钥和请求体计算出一个新的HMAC，并将其与请求中的HMAC进行比较。如果两者相同，则表示请求是有效的。

推荐的腾讯云相关产品：腾讯云云服务器（CVM）、腾讯云对象存储（COS）、腾讯云云函数（SCF）等。你可以通过访问腾讯云官方网站获取更多关于这些产品的详细信息和文档。

请注意，以上答案仅供参考，具体实现方式可能因实际情况而异。