你刚刚配好本地监听,用 ngrok 一类工具打了一条隧道,从 Stripe 或 GitHub 发了一个测试事件过来。一切看起来都对,但控制台在第一时间就甩过来一个含糊的错误:Invalid signature,或者干脆一个硬邦邦的 400 Bad Request。

这就是 Webhook 签名验证带来的“鬼故事”:概念上简单得近乎无聊——把请求体用共享密钥做个哈希,再跟请求头里的签名一比——可一旦落到本地开发环境,大多数人都要在这个环节耗掉好几个小时的有效工作时间。

问题到底出在哪儿?答案往往就藏在两处:被中间件悄悄修改过的“原始请求体”,以及你手里那串看似正确、实则对不上环境的密钥。以下我们会从实际踩坑的视角,拆开这个流程,并说清楚如何用一种更聪明的方式停下来那个“触发—报错—重启”的死循环。

现在几乎所有主流平台——Stripe、GitHub、Shopify、Slack——都用的是 HMAC(基于哈希的消息认证码)来做 Webhook 签名验证。它们的步骤几乎一模一样:服务端拿到请求的原始 JSON 字符串,用一个只有你和它才知道的密钥对这段字符串签名,然后把签名结果塞进一个特定的 Header(比如Stripe-SignatureX-Hub-Signature-256)里发给你。你的服务器收到请求后,理应拿起同样的密钥,对请求体重新签一次,再比对两个哈希值。

这套流程设计得非常严苛:哪怕原始请求体里有一个字节对不上,最终算出的哈希都会彻底不同。这种设计本身没有任何问题——它本来就是用来防止篡改和伪造的。可同样因为这个特性,在开发阶段它变得异常脆弱,随便一个无心的中间件动作就能让签名验证彻底失效。

第一个、也是最容易掉进去的坑,跟“请求体被提前解析”有关。在 Node.js 环境里,如果你用的是 Express 或者 Fastify,几乎所有人都会习惯性地挂一个app.use(express.json())的中间件。这个中间件会在你的 Webhook 处理函数收到请求之前,就已经把请求体从原始 buffer 解析成了一个 JavaScript 对象。

等到你准备验签的时候,很可能下意识就这么写:

// 绝对不要这么写const payload = JSON.stringify(req.body);const sig = req.headers['stripe-signature'];const event = stripe.webhooks.constructEvent(payload, sig, endpointSecret);

这一段代码几乎十试九败。问题就出在JSON.stringify上面:它重新生成的字符串,可能与服务端当初发送的那段原始 JSON 并不完全一致。空白符的位置可能变了,对象的键顺序可能被调整了,某些特殊字符的转义方式也可能和原始字符串不同。正是这些肉眼根本看不出来的差别,导致你验签时算出来的哈希与平台发来的签名对不上。

正确的做法,是在 JSON 解析之前就把原始 buffer 抢下来。Express 的express.json()提供了一个verify回调,正好可以用来做这件事:

app.use(express.json({verify: (req, res, buf) => {if (req.originalUrl.startsWith('/webhooks')) {req.rawBody = buf;

这样,所有打到/webhooks路径下的请求,都会在 body 被修改之前,把原始 buffer 挂到req.rawBody上。随后在处理器里直接用这个原始的req.rawBody去验签,就再也不会被中间件的副作用干扰了。

第二个高发的错误点听上去像是“低级失误”,但实际发生频率极高:用错密钥。在任何一套 API 对接流程里,一般都会同时存在三种不同类型的密钥:用来向平台发起请求的 API Key、给线上环境配置的生产 Webhook Secret,以及专门用于本地隧道或 CLI 工具的本地/测试 Webhook Secret。

很多人在本地用工具(比如stripe listen)的时候,根本没注意到这个工具会自己生成一套独立的本地签名密钥。他依然习惯性地把面板里看到的那个生产密钥复制进本地代码,或者更糟,把 API Key 当成 Webhook Secret 来用。结果就是,无论请求体抓得多原始,签名永远对不上,原因简单到令人懊恼:你用的密钥和平台用来签名的那把密钥根本不是同一把。

所以,在排查签名验证失败的时候,除了确保拿到了原始 body,第二件事就应该去盯紧环境里到底配的是哪个 Secret——并且确认这个 Secret 和你所用的隧道工具、CLI 工具所给出的那份密钥是否完全一致。

搞清这两个技术点之后,本地开发的节奏仍然有一个被反复打断的痛点:每改一行代码,就得去 Stripe 或 GitHub 那边重新触发一次 Webhook,然后再回头盯着日志看成功没有。如果失败,就再改、再触发、再看。这就是典型的 “trigger-fail-restart” 循环。

原文里提到一个工具叫 Anonymily,它的目标就是中断这个低效循环,让你在本地能够更从容地调试签名验证流程。虽然文中没有展开它的具体机制,但从工作流优化的角度看,它的思路值得留意:一定是在本地一侧提供了某种 replay 或者 mock 能力,让你不必每次都回到上游去手动触发,从而把验证、调试的闭环缩到最短。

如果你现在正被 Webhook 签名验证拖住,最简单的行动顺序应该是:先确认中间件是不是已经污染了请求体,用verify回调把 rawBody 抢下来;然后去核对到底是哪个密钥在真正发挥作用,本地工具生成的那把密钥是不是和你代码里配的那把一致;最后,如果频繁抽检太耗时间,就去在你的本地环境里引入一股能够“停下来”的缓冲力,把那条反复重试的链条拦腰切断。

签名验证本质上没有任何黑魔法,它只是一个极简的哈希对比。只是这个极简逻辑,被本地开发环境的种种“善意帮手”一层一层包裹之后,才变得看起来像在故意跟你作对。