telegram小程序(tma)数据验证方法 超详细!!!

最新推荐文章于 2025-04-30 07:49:25 发布
最新推荐文章于 2025-04-30 07:49:25 发布
阅读量568 收藏 10
点赞数 6
文章标签: 小程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37367981/article/details/144674408
版权

最近接触到telegram小程序后台服务,其中涉及到小程序数据验证流程。找了一圈发现网上还没有关于这个功能的java实现,所以自己写了一个验证工具,作为技术分享。

tg官网的文档 验证通过小程序收到的数据

通过文档能知道数据验证主要是用到了HmacSha256摘要算法验证前端获取到的initData是否有效。该算法通过传入加密内容content及密钥secretKey生成摘要值,只要content及secretKey相同每次生成的hash也是一样的。

  • content生成规则: 将收到的initData参数按参数名字母顺序排序后,使用k=v及换行符**“\n”**进行拼接。
  • secret_key生成规则:使用HmacSha256算法以小程序机器人的botToken作为content,字符串”WebAppData“为key生成的摘要做为密钥。
  • 校验结果:对比HmacSha256(content,secret_key)计算出来的calcHash值及小程序前端获取到的hash参数, 相同则表示数据来源于telegram校验通过,否则校验失败。

tg小程序数据验证流程.png

前端收到的数据:

小程序前端收到的数据.png

代码实现主要是三部分:

1. 构建数据校验字符串 data-check-string

  • buildDataMap()
    前端拿到的初始化数据initData为urlEncode过的格式,需要先将原文decode,再转成map便于后续处理按参数字母顺序排序。
    注意点:这里有一个坑,前端拿到的initData 包含了hash参数,需要将这个参数hash排除,否则验签不过,这里卡了我一段时间。囧( ╯□╰ )
  • buildDataCheckString()
    构建data_check_string,将buildDataMap()得到的参数map排序后,使用k=v的方式使用换行符**”\n“**拼接
    private static String buildDataCheckString(Map<String, String> dataMap) {
        List<String> keys = new ArrayList<>(dataMap.keySet());
        Collections.sort(keys); // 字典序排序
        StringBuilder sb = new StringBuilder();
        for (String key : keys) {
            sb.append(key).append("=").append(dataMap.get(key)).append("\n");
        }
        // 移除最后一个换行符
        if (sb.length() > 0) {
            sb.setLength(sb.length() - 1);
        }
        return sb.toString();
    }

    private static Map<String, String> buildDataMap(String data) throws Exception {
        Map<String, String> params = new HashMap<>();
        String[] pairs = data.split("&");
        for (String pair : pairs) {
            int idx = pair.indexOf("=");
            if (idx > 0) {
                String key = URLDecoder.decode(pair.substring(0, idx), StandardCharsets.UTF_8.name());
                if (Arrays.asList("hash", "").contains(key)) {
                    continue;
                }
                String value = URLDecoder.decode(pair.substring(idx + 1), StandardCharsets.UTF_8.name());
                params.put(key, value);
            }
        }
        return params;
    }

2. HmacSha256算法实现


    private static String encryptHex(String content, byte[] key) {
        return Hex.encodeHexString(encrypt(content, key));
    }

    public static byte[] encrypt(String content, byte[] key) {
        try {
            Mac mac = Mac.getInstance("HmacSHA256");
            SecretKeySpec secretKeySpec = new SecretKeySpec(key, "HmacSHA256");
            mac.init(secretKeySpec);
            return mac.doFinal(content.getBytes());
        } catch (NoSuchAlgorithmException | InvalidKeyException e) {
            throw new RuntimeException(e);
        }
    }

3. 验证方法

    public static boolean validData(String data,String hash) {
        try {
            // 1. 构建 data-check-string
            String dataCheckString = buildDataCheckString(buildDataMap(data));

            // 2. 计算 secret_key = HMAC_SHA256(<bot_token>, "WebAppData")
            byte[] secretKey = encrypt(botToken, "WebAppData".getBytes(StandardCharsets.UTF_8));

            // 3. 计算 HMAC-SHA256(data-check-string, secret_key)
            String calcHash = encryptHex(dataCheckString, secretKey);
            // 4. 比较 hash 和 calcHash
            return hash.equalsIgnoreCase(calcHash);
        } catch (Exception e) {
            e.printStackTrace();
            return false;
        }
    }

完整代码如下:

import lombok.extern.slf4j.Slf4j;
import org.apache.commons.codec.binary.Hex;

import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;
import java.net.URLDecoder;
import java.nio.charset.StandardCharsets;
import java.security.InvalidKeyException;
import java.security.NoSuchAlgorithmException;
import java.util.*;

/**
 * @author wds
 * @DateTime: 2024/11/27 11:00
 */
@Slf4j
public class ValidUtils {

   //替换为你的机器人token
    public static String botToken = "xxx";

    /**
     * 验证tg小程序数据
     * 1. 构建 data-check-string
     * 2. 计算【secret_key】
     *      = HMAC_SHA256(<bot_token>, "WebAppData")
     * 3. 计算参数【calcHash】
     *      = HMAC-SHA256(data-check-string, secret_key)
     * 4. 比较 hash和calcHash是否一致
     *
     * @param data tg文档中的initData
     * @param hash 收到的Hash
     * @return 校验结果
     */
    public static boolean validData(String data,String hash) {
        try {
            // 1. 构建 data-check-string
            String dataCheckString = buildDataCheckString(buildDataMap(data));

            // 2. 计算 secret_key = HMAC_SHA256(<bot_token>, "WebAppData")
            byte[] secretKey = encrypt(botToken, "WebAppData".getBytes(StandardCharsets.UTF_8));

            // 3. 计算 HMAC-SHA256(data-check-string, secret_key)
            String calcHash = encryptHex(dataCheckString, secretKey);
            // 4. 比较 hash 和 calcHash
            return hash.equalsIgnoreCase(calcHash);
        } catch (Exception e) {
            e.printStackTrace();
            return false;
        }
    }

    /**
     * 构建数据检查字符串
     * 1.按照字段名的字母顺序排序
     * 2.使用换行符"\n" 连接
     *
     * @param dataMap 参数map
     * @return 数据检查字符串 即tg文档中的data_check_string
     */
    private static String buildDataCheckString(Map<String, String> dataMap) {
        List<String> keys = new ArrayList<>(dataMap.keySet());
        Collections.sort(keys); // 字典序排序
        StringBuilder sb = new StringBuilder();
        for (String key : keys) {
            sb.append(key).append("=").append(dataMap.get(key)).append("\n");
        }
        // 移除最后一个换行符
        if (sb.length() > 0) {
            sb.setLength(sb.length() - 1);
        }
        return sb.toString();
    }

    /**
     * 构建参数map
     * 需要去除hash参数
     *
     * @param data tg文档中的initData
     * @return 返回参数map
     */
    private static Map<String, String> buildDataMap(String data) throws Exception {
        Map<String, String> params = new HashMap<>();
        String[] pairs = data.split("&");
        for (String pair : pairs) {
            int idx = pair.indexOf("=");
            if (idx > 0) {
                String key = URLDecoder.decode(pair.substring(0, idx), StandardCharsets.UTF_8.name());
                if (Arrays.asList("hash", "").contains(key)) {
                    continue;
                }
                String value = URLDecoder.decode(pair.substring(idx + 1), StandardCharsets.UTF_8.name());
                params.put(key, value);
            }
        }
        return params;
    }

    /**
     * 计算HMAC-SHA256 16进制值
     * @param content 加密内容
     * @param key 密钥 [bytes]
     * @return
     */
    private static String encryptHex(String content, byte[] key) {
        return Hex.encodeHexString(encrypt(content, key));
    }

    /**
     * 计算 HMAC-SHA256
     * @param content 加密内容
     * @param key 密钥 [bytes]
     * @return
     */
    public static byte[] encrypt(String content, byte[] key) {
        try {
            Mac mac = Mac.getInstance("HmacSHA256");
            SecretKeySpec secretKeySpec = new SecretKeySpec(key, "HmacSHA256");
            mac.init(secretKeySpec);
            return mac.doFinal(content.getBytes());
        } catch (NoSuchAlgorithmException | InvalidKeyException e) {
            throw new RuntimeException(e);
        }
    }

    public static void main(String[] args) throws Exception {
        // 从 Telegram 接收到的哈希
        String hash = "c6978f397xxx4f58afb770cc94475a36d2cce6b65a635a6464ba5a655545fade"; 
        // 从 Telegram 接收到的数据        
        String data = "user=%7B%22id%22%3Axxxx%2C%22first_name%22%3A%22xx%22%2C%22last_name%22%3A%22xxx%22%2C%22language_code%22%3A%22zh-hans%22%2C%22allows_write_to_pm%22%3Atrue%2C%22photo_url%22%3A%22https%3A%5C%2F%5C%2Ft.me%5C%2Fi%5C%2Fuserpic%5C%2F320%5C%2FK3s4gI28di2N4c377dNAvSm55rCk-_e-0p3XtbRhopepeiUDqCBg2CmR0PeMzKDK.svg%22%7D&chat_instance=-7404315562752763869&chat_type=private&auth_date=1732677313&signature=nhoK6WbQfrinb4Adxk-vzV9ffc7Hw2BjRulbOpqEC-HeYMkRbdEBdkaFSQrVeOj3FNScMmVbYswos2zP8am0Bg&hash=c6978f397b2f4f58afb770cc94475a36d2cce6b65a635a6464ba5a655545fade";  
        // 验证数据
        boolean isValid = validData(data, hash);
        System.out.println("小程序参数校验结果: " + isValid);
    }

}
wds_94
关注
Telegram Bot、小程序开发(三)Mini Apps小程序
西京刀客
07-16 6831
2022年4月Telegram的MiniApp(之前为Web App,6.0版后改名为Mini App)上线,Mini Apps(简称 TMAs,中文名:小程序)很可能会变成一个类似于微信小程序的平台,使得Telegram 更接近一个“超级应用”。
Telegram bot & Mini-App开发实践---Telegram简单介绍与初始化小程序获取window.Telegram.WebApp对象并解析
热门推荐
鄙人kunzhi96,感恩遇见!
10-24 2万+
Telegram是一款由 Pavel Durov 于 2013 年发布的即时通讯工具,最初的目标是为用户提供一个更加注重隐私和安全的聊天平台。与其他通讯软件相比,Telegram 凭借其端到端加密、支持多平台同步以及开源的 API 生态系统,迅速成为全球用户的首选工具之一。Telegram bot 是一种特殊的 Telegram 帐户,由开发者通过 Telegram API 创建,用来与用户自动交互。
程序验证
qq_46020074的博客
12-28 189
版本信息:1.0结束
验证方法
qq_39794062的博客
02-10 6798
一、概述 在开展验证时有一整套的工具箱,根据设计的特点选用不同的验证方法,最终取得满意的效果。 实际的验证工作中,需要通过多种语言、方法、工具实现验证,比如仿真验证会协同形式验证一同来完善功能覆盖率,也有可能通过语言和脚本之间的整合来最终完成一项验证流程。 目前的阶段,已经无法依赖单一的工具、语言或者方法来达到验证的完备性。 二、主要方法分类 动态仿真 该方式是通过测试序列和激励生成器给入待测设计适当的激励,伴随着仿真时间,进而判断输出是否符合预期。 需要仿真器配合,比较结果和仿真波形,最终判定测试用
怎么在C语言软件上验证程序,一种验证指针程序的方法
weixin_39954889的博客
05-19 603
随着国家、社会和日常生活对软件系统的依赖程度日益增长,安全攸关软件的高可信成为保障国家安全、保持经济可持续发展和维护社会稳定的必要条件。形式验证是提高软件可信程度的重要方法。粗略地说,软件的形式验证有两种途径,第一种是模型检测,它通过遍历系统所有状态空间,能够对有穷状态系统进行自动验证,并自动构造不满足验证性质的反例。这种方法在工业界较流行。第二种是逻辑推理,它利用某种程序逻辑进行演算,对程序性质...
程序验证(1)- 简介
Webster_WXH的博客
12-04 1089
参考:https://zhuanlan.zhihu.com/p/295230186 程序验证的目的是证明程序的正确性,这既包括程序不会有运行时错误,也包括程序功能的正确性。 其次,程序验证的基本要素是程序的源码,要验证的属性,这是实现自动化验证的前提。 同时,在必要时,我们需要有循环不变式。 最后, 程序验证的基本思路是,在给定源码和属性的基础上, 通过验证算法, 将我们需要验证的问题转化为逻辑公式, 再证明逻辑公式的正确性。 验证算法是程序验证所研究的核心内容, 对程序验证的效率,有着至关重要的影响。 还
TG创建小程序交互APP登录以及机器人信息
qq_38935605的博客
07-12 3626
现在请为您的 Web 应用选择一个简称:3-30 个字符,a-zA-Z0-9_。此简称将用于 t.me/TetrisHayDenBot/myapp 等 URL,并作为您的 Web 应用的唯一标识符。编辑命令 : 编辑命令以后机器人对话框旁边会出现菜单,点击菜单可以出现我们编辑d。完成以后会要我们 :现在上传演示 GIF 或发送/empty 以跳过此步骤。命令,选择关联小程序的机器人。我们跳过以后会让我们输入小程序外部链接的https的url。将我们机器人菜单改为自定义按钮。编辑描述 : 机器人的描述。
skill_Telegram:使用您的Telegram电话应用程序聊天或向Alice发送命令!
04-14
电报 使用privacy first应用程序Telegram直接从您的移动设备与Alice聊天 作者:Psychokiller1888 维护者: 爱丽丝最低版本:1.0.0-b3 语言:en
处理::loudspeaker:Telegram React应用程序(正在运行TDLIB版本!)
02-04
电报React 工作正在进行中 通过电报与我联系 安装 您可以从此存储库克隆 ...$ cd treact $ cd packages/theme-parser && yarn build $ cd packages/treact && yarn start:dev 用法 所有命令默认为开发环境。...
telegram-robot-rss:简洁易用的RSS Newsfeed Bot,可用于出色的Telegram Messenger应用程序!
02-01
RobotRSS是Telegram Messenger的RSS Bot。 订阅不同的新闻频道并保持最新。 网站更新时,例如在新闻页面,博客或音频/视频日志上,会在Messenger应用中接收即时消息。 最新的稳定发行版和发行说明可以在找到。 用法...
Python-爬虫-请求数据-url解析urlparse和urlsplit
08-21 705
urlparse和urlsplit函数: from urllib import parse ###########1.urlparse解析函数 # url例子 url = 'http://sports.sina.com.cn/basketball/nba/2019-08-21/doc-ihytcitn0830846.shtml' # 解析url result = parse.urlp...
【算法】用程序验证规律,1,11,21,1211,111221
duxinyuhi的专栏
11-22 1万+
原文地址:http://blog.sina.com.cn/s/blog_537a13270100z2oj.html 第一个数是:1; 第二个数是:11; 第三个数是:21; 第四个数是:1211; 第五个数是:111221; ………………………… 第二十七个数共2012位; 问第十三个数有多少位? 有人问我了一道找规律的题 规律是: 第
1_修改程序验证流程
u012129783的博客
04-11 692
1,下面这段程序中,verify_password是验证密码的函数,我们要做的是把编译好的程序直接跳过程序验证流程。 #include &lt;stdio.h&gt; #define PASSWORD "1234567" int verify_password (char *password) { int authenticated; authenticated=strcmp(p...
调试工具:应用程序验证器Application Verifier一页纸(appverif+WinDbg+gflags)- 详细版
可乐松子的博客
05-25 5695
当一个Release版本软件出现bug时,可以使用操作系统提供的验证机制;校验机制中有2个常用工具:应用程序验证器()是windows本地代码的分析工具,依赖于操作系统的支持来捕获常见的系统API误使用,工具可以自动捕获很多难以重现的代码错误;是一个设置应用验证机制参数的工具工具主要包括2个部分:实现在等dll中的开头的函数和一个设置工具()应用程序验证器()本质上就是一个工具,下面通过问答和一个示例来讲解下面通过问答的形式说明工具的一些使用疑惑(主要是第一次使用会有),其实多操作几次自然就记住了什么情况下
颠覆传统微商!开源AI智能名片链动2+1模式S2B2C商城小程序:重构社交电商的“降维打击”革命
专注MarTech应用研究与实施方案
04-27 1118
传统微商模式长期依赖暴力刷屏、多层分销与价格战,导致用户信任崩塌、行业合规风险激增,近三年行业淘汰率高达67%。本文创新性提出“开源AI智能名片链动2+1模式S2B2C商城小程序”技术-商业融合架构,通过AI驱动的智能内容引擎、链动2+1模式的合规化重构与S2B2C商城的供应链深度协同,实现社交电商运营的“三化”突破:内容生产智能化、分销裂变合规化、供应链协同数字化。
废品回收小程序:全链路数字化解决方案,赋能绿色未来
m0_61571842的博客
04-29 224
通过分模块化描述与功能亮点提炼,突出“便捷、高效、智慧”三大核心价值,展现小程序如何从用户、回收员到管理端实现全链路数字化升级,助力废品回收行业迈向绿色、循环、低碳的可持续发展未来。
管理100个小程序-很难吗
jijunjian的专栏
04-23 2833
苦难重业都是让我们更强大
基于开源AI智能名片链动2+1模式S2B2C商城小程序的私域电商与微商融合创新研究
最新发布
专注MarTech应用研究与实施方案
04-30 555
本文聚焦私域电商与微商的差异化与共性特征,剖析传统商业形态变革下两者的演进路径。引入“开源AI智能名片链动2+1模式S2B2C商城小程序”(以下简称“链动小程序”)作为技术载体,揭示其在重构私域商业生态中的关键作用。研究通过构建“人格域-代理链-流量池”三维分析模型,论证链动小程序如何通过AI智能匹配、链动裂变机制与S2B2C资源整合,实现私域电商的人格化运营与微商代理体系的数字化升级。实证表明,该模式可使私域流量转化率提升41%,代理留存周期延长58%,品牌人格化指数增长33%。
telegram 小程序开发
01-05
### Telegram Bot API 开发指南 为了创建并运行一个Telegram机器人,开发者需先通过BotFather注册新机器人以获取API令牌。之后可利用HTTP请求与Telegram服务器交互来发送消息、处理命令和其他操作[^1]。 Python作为一种流行的编程语言,在实现上述功能方面表现出色。借助`python-telegram-bot`库可以简化许多复杂的流程,使得编写代码更加直观易懂。安装该库可以通过pip工具完成: ```bash pip install python-telegram-bot==13.7 ``` 下面是一个简单的例子展示如何建立基本框架以及响应/start指令的方法: ```python from telegram import Update, Bot from telegram.ext import Updater, CommandHandler, CallbackContext def start(update: Update, context: CallbackContext) -> None: update.message.reply_text('你好! 这里是你的第一个Telegram机器人的回复.') if __name__ == '__main__': updater = Updater("YOUR_BOT_TOKEN_HERE", use_context=True) dp = updater.dispatcher dp.add_handler(CommandHandler("start", start)) updater.start_polling() updater.idle() ``` 这段程序定义了一个名为`start()`函数用于回应用户的启动命令(/start),并通过向聊天窗口发送一条问候语作为反馈。要使这个脚本工作正常,记得替换掉字符串"YOUR_BOT_TOKEN_HERE"为你自己的bot token[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值