使用Ruby测试filepicker.io安全性

我正在尝试构建一个测试，该测试将允许我执行FilePicker.io安全性。该代码运行如下：使用Ruby测试filepicker.io安全性

ruby test.rb [file handle]

并且结果是我可以附加到FilePicker URL的查询字符串。我很确定我的政策正在被正确阅读，但我的签名不是。有人能告诉我我做错了什么吗？下面的代码：

require 'rubygems' 
require 'base64' 
require 'cgi' 
require 'openssl' 
require 'json' 

handle = ARGV[0] 
expiry = Time::now.to_i + 3600 
policy = {:handle=>handle, :expiry=>expiry, :call=>["pick","read", "stat"]}.to_json 
puts policy 
puts "\n" 
secret = 'SECRET' 
encoded_policy = CGI.escape(Base64.encode64(policy)) 
signature = OpenSSL::HMAC.hexdigest('sha256', secret, encoded_policy) 
puts "?signature=#{signature}&policy=#{encoded_policy}"

来源

2012-11-27 brokenbeatnik

的技巧是使用，而不是CGI.escape Base64.urlsafe_encode64：

require 'rubygems' 
require 'base64' 
require 'cgi' 
require 'openssl' 
require 'json' 

handle = ARGV[0] 
expiry = Time::now.to_i + 3600 
policy = {:handle=>handle, :expiry=>expiry}.to_json 
puts policy 
puts "\n" 
secret = 'SECRET' 
encoded_policy = Base64.urlsafe_encode64(policy) 
signature = OpenSSL::HMAC.hexdigest('sha256', secret, encoded_policy) 
puts "?signature=#{signature}&policy=#{encoded_policy}"

当与到期的样本值测试，处理和秘密在Filepicker.io docs会返回与python示例相同的值。

来源

2012-11-29 01:47:55 elevenarms

对不起，我没有说清楚我目前在Ruby 1.8中，所以我没有访问该方法的权限。我通过删除CGI.escape和gsubbing出新行来解决了这个问题。我不确定严格来说这是否正确，但它确实有效。 – brokenbeatnik

我在Ruby 1.8中的环境解决了这个通过移除CGI.escape和gsubbing了新行：

Base64.encode64(policy).gsub("\n","")

elevenarms的回答是最好的Ruby 1.9的用户，但你必须做的东西有点缺憾就像上面的Ruby 1.8一样。尽管如此，我仍然会接受他的回答，因为我们大多数人或很快就会在1.9以内。

来源

2012-11-29 23:33:09 brokenbeatnik

使用Ruby测试filepicker.io安全性

回答

相关问题