在NestJS 中添加对Stripe 的WebHook 验证

背景介绍

Nest 是一个用于构建高效,可扩展的NodeJS 服务器端应用程序的框架。它使用渐进式JavaScript, 内置并完全支持TypeScript, 但仍然允许开发人员使用纯JavaScript 编写代码。并结合了OOP(面向对象编程),FP(函数式编程)和 FRP(函数式响应编程)的元素。

Stripe 是一家美国金融服务和软件即服务公司,总部位于美国加利福尼亚州旧金山。主要提供用于电子商务网站和移动应用程序的支付处理软件和应用程序编程接口。2020年8月4日,《苏州高新区 · 2020胡润全球独角兽榜》发布,Stripe 排名第5位。

注:接下来的内容需要有NodeJS 及NestJS 的使用经验,如果没有需要另外学习如何使用。

代码实现

1. 去除自带的Http Body Parser.

因为Nest 默认会将所有请求的结果在内部直接转换成JavaScript 对象,这在一般情况下是很方便的,但如果我们要对响应的内容进行自定义的验证的话就会有问题了,所以我们要先替换成自定义的。

首先,在根入口启动应用时传入参数禁用掉自带的Parser.

import {NestFactory} from '@nestjs/core';

import {ExpressAdapter, NestExpressApplication} from '@nestjs/platform-express';

// 应用根

import {AppModule} from '@app/app/app.module';

// 禁用bodyParser

const app = await NestFactory.create<NestExpressApplication>(

  AppModule,

  new ExpressAdapter(),

  {cors: true, bodyParser: false},

);

2. Parser 中间件

然后定义三个不同的中间件:

  1. 给Stripe 用的Parser
// raw-body.middleware.ts

import {Injectable, NestMiddleware} from '@nestjs/common';

import {Request, Response} from 'express';

import * as bodyParser from 'body-parser';

@Injectable()

export class RawBodyMiddleware implements NestMiddleware {

  use(req: Request, res: Response, next: () => any) {

    bodyParser.raw({type: '*/*'})(req, res, next);

  }

}


// raw-body-parser.middleware.ts

import {Injectable, NestMiddleware} from '@nestjs/common';

import {Request, Response} from 'express';

@Injectable()

export class RawBodyParserMiddleware implements NestMiddleware {

  use(req: Request, res: Response, next: () => any) {

    req['rawBody'] = req.body;

    req.body = JSON.parse(req.body.toString());

    next();

  }

}
  1. 给其他地方用的普通的Parser
// json-body.middleware.ts

import {Request, Response} from 'express';

import * as bodyParser from 'body-parser';

import {Injectable, NestMiddleware} from '@nestjs/common';

@Injectable()

export class JsonBodyMiddleware implements NestMiddleware {

  use(req: Request, res: Response, next: () => any) {

    bodyParser.json()(req, res, next);

  }

}

基于上面的两个不同的场景,在根App 里面给注入进去:

import {Module, NestModule, MiddlewareConsumer} from '@nestjs/common';

import {JsonBodyMiddleware} from '@app/core/middlewares/json-body.middleware';

import {RawBodyMiddleware} from '@app/core/middlewares/raw-body.middleware';

import {RawBodyParserMiddleware} from '@app/core/middlewares/raw-body-parser.middleware';

import {StripeController} from '@app/events/stripe/stripe.controller';

@Module()

export class AppModule implements NestModule {

  public configure(consumer: MiddlewareConsumer): void {

    consumer

      .apply(RawBodyMiddleware, RawBodyParserMiddleware)

      .forRoutes(StripeController)

      .apply(JsonBodyMiddleware)

      .forRoutes('*');

  }

}

这里我们对实际处理WebHook 的相关Controller 应用了RawBodyMiddleware, RawBodyParserMiddleware 这两个中间件,它会在原来的转换结果基础上添加一个未转换的键,将Raw Response 也返回到程序内以作进一步处理;对于其他的地方,则全部使用一个默认的,和内置那个效果一样的Json Parser.

3. Interceptor 校验器

接下来,我们写一个用来校验的Interceptor. 用来处理验证,如果正常则通过,如果校验不通过则直接拦截返回。

import {

  BadRequestException,

  CallHandler,

  ExecutionContext,

  Injectable,

  Logger,

  NestInterceptor,

} from '@nestjs/common';

import Stripe from 'stripe';

import {Observable} from 'rxjs';

import {ConfigService} from '@app/shared/config/config.service';

import {StripeService} from '@app/shared/services/stripe.service';

@Injectable()

export class StripeInterceptor implements NestInterceptor {

  private readonly stripe: Stripe;

  private readonly logger = new Logger(StripeInterceptor.name);

  constructor(

    private readonly configService: ConfigService,

    private readonly stripeService: StripeService,

  ) {

    // 等同于

    // this.stripe = new Stripe(secret, {} as Stripe.StripeConfig);

    this.stripe = stripeService.getClient();

  }

  intercept(context: ExecutionContext, next: CallHandler): Observable<any> {

    const request = context.switchToHttp().getRequest();

    const signature = request.headers['stripe-signature'];

    // 因为Stripe 的验证是不同的WebHook 有不同的密钥的

    // 这里只需要根据业务的需求增加对应的密钥就行

    const CHARGE_SUCCEEDED = this.configService.get(

      'STRIPE_SECRET_CHARGE_SUCCEEDED',

    );

    const secrets = {

      'charge.succeed': CHARGE_SUCCEEDED,

    };

    const secret = secrets[request.body['type']];

    if (!secret) {

      throw new BadRequestException({

        status: 'Oops, Nice Try',

        message: 'WebHook Error: Function not supported',

      });

    }

    try {

      this.logger.log(signature, 'Stripe WebHook Signature');

      this.logger.log(request.body, 'Stripe WebHook Body');

      const event = this.stripe.webhooks.constructEvent(

        request.rawBody,

        signature,

        secret,

      );

      this.logger.log(event, 'Stripe WebHook Event');

    } catch (e) {

      this.logger.error(e.message, 'Stripe WebHook Validation');

      throw new BadRequestException({

        status: 'Oops, Nice Try',

        message: `WebHook Error: ${e.message as string}`,

      });

    }

    return next.handle();

  }

}

4. 应用到Controller

最后,我们把这个Interceptor 加到我们的WebHook Controller 上。

import {Controller, UseInterceptors} from '@nestjs/common';

import {StripeInterceptor} from '@app/core/interceptors/stripe.interceptor';

@Controller('stripe')

@UseInterceptors(StripeInterceptor)

export class StripeController {}

大功告成!

在NestJS 中添加对Stripe 的WebHook 验证的更多相关文章

  1. 怎么添加对Shopify 的WebHook 验证

    怎么添加对Shopify 的WebHook 验证 背景介绍 Shopify 是一家一站式SaaS 模式的电商服务平台,总部位于加拿大首都渥太华,专注于为跨境电商用户提供海外品牌建立及销售渠道管理.为电 ...

  2. 在Jenkins管道中添加Webhook

    你有没有尝试过在Jenkins中添加GitHub webhook?在这篇博客中,我将演示在您的管道中添加webhook的最简单方法. 首先,什么是webhook?webhook的概念很简单.webho ...

  3. 在jekyll模板博客中添加网易云模块

    最近使用GitHub Pages + Jekyll 搭建了个人博客,作为一名重度音乐患者,博客里面可以不配图,但是不能不配音乐啊. 遂在博客里面引入了网易云模块,这里要感谢网易云的分享机制,对开发者非 ...

  4. 在Linux(Luna)下向Launch启动器中添加图标

    记录下在Luna下向Launch中添加图标的步骤,以供以后参考,这里我以加入eclipse图标为例: 首先,我们来创建一个desktop文件(Luna中到启动器Launch可以看作是Ubuntu中到桌 ...

  5. 用Retrofit发送请求中添加身份验证

    用Retrofit发送请求中添加身份验证====================在安卓应用开发中, retrofit可以极大的方便发送http网络请求,不管是GET, POST, 还是PUT, DEL ...

  6. 在html中添加script脚本的方法和注意事项

    在html中添加script脚本有两种方法,直接将javascript代码添加到html中与添加外部js文件,这两种方法都比较常用,大家可以根据自己需要自由选择 在html中添加<script& ...

  7. MVC学习随笔----如何在页面中添加JS和CSS文件

    http://blog.csdn.net/xxjoy_777/article/details/39050011 1.如何在页面中添加Js和CSS文件. 我们只需要在模板页中添加JS和CSS文件,然后子 ...

  8. 怎样在Windows资源管理器中添加右键菜单以及修改右键菜单顺序

    有时,我们需要在Windows资源管理器的右键菜单中添加一些项,以方便使用某些功能或程序. 比如我的电脑上有一个免安装版的Notepad++,我想在所有文件的右键菜单中添加一项用Notepad++打开 ...

  9. 在WebStorm环境中给nodejs项目中添加packages

    照前文 http://www.cnblogs.com/wtang/articles/4133820.html  给电脑设置了WebStorm的IDE的nodejs开发环境.新建了个express的网站 ...

随机推荐

  1. c语言经典算法---计算Fibonacci数列

    算法是一个程序和软件的灵魂,作为一名优秀的程序员,只有对一些基础的算法有着全面的掌握,才会在设计程序和编写代码的过程中显得得心应手.下面我就分享一个C语言中比较基础却极为重要的一个算法----计算Fi ...

  2. 精尽Spring Boot源码分析 - Jar 包的启动实现

    该系列文章是笔者在学习 Spring Boot 过程中总结下来的,里面涉及到相关源码,可能对读者不太友好,请结合我的源码注释 Spring Boot 源码分析 GitHub 地址 进行阅读 Sprin ...

  3. Kubernetes之无头服务(headless)

    己经看到如何使用服务来提供稳定的ip地址,从而允许客户端连接到支持服务的每个pod (或其他端点).到服务的每个连接都被转发到一个随机选择的pod上.但是如果客户端需要链接到所有的pod呢?如果后端的 ...

  4. mysql字符集utf8和utf8mb4区别

    1.起因 公司游戏项目上线第一天,出现单个区服异常宕机的问题,根据日志排查下来,连接数据的时候报错,后面排查是因为有玩家插入Emoji 等表情导致无法存储如数据库,数据库字符集编码为utf8,后续改成 ...

  5. pod生命周期

    Pod生命周期 我们一般将pod对象从创建至终这段时间范围成为pod的生命周期,它主要包含以下的过程: pod创建过程 运行初始化容器(init container)过程 运行主容器(main con ...

  6. 4.QT:spinbox(spindoublebox)控件的信号响应

    Qt的QSpinBox和QDoubleSpinBox两个控件在默认情况下是valueChanged信号,会响应每次输入栏的改变. 比如想要输入数值"123",我们会依次键入1 - ...

  7. 12.10、elk实用案例

    1.架构图: 服务器名称 ip地址 controller-node1(主) 172.16.1.90 slave-node1(从) 172.16.1.91 2.安装filebeat: filebeat不 ...

  8. 详解C++中的多态和虚函数

    一.将子类赋值给父类 在C++中经常会出现数据类型的转换,比如 int-float等,这种转换的前提是编译器知道如何对数据进行取舍.类其实也是一种数据类型,也可以发生数据转换,但是这种转换只有在 子类 ...

  9. [Django REST framework - RBAC-基于角色的访问控制、base64编码 、xadmin的使用]

    [Django REST framework - RBAC-基于角色的访问控制.base64编码 .xadmin的使用] RBAC-基于角色的访问控制 RBAC 是基于角色的访问控制(Role-Bas ...

  10. 1.3.3、通过Header属性匹配

    server: port: 8080 spring: application: name: gateway cloud: gateway: routes: - id: guo-system4 uri: ...