Telegram

如何判断 Telegram 回调数据(Web App Data)是否被中间人篡改过

🕒 更新于 2026-01-11 ✍️ ApiAnswer Team

如何判断 Telegram 回调数据(Web App Data)是否被中间人篡改过

痛点描述

在使用 Telegram Web App 进行交互时,开发者需要确保接收到的回调数据未被中间人攻击(MITM)篡改。中间人攻击可能导致数据被伪造,从而影响应用的安全性和用户体验。因此,如何判断 Telegram 回调数据(Web App Data)是否被中间人篡改过,是开发者必须面对的重要问题。

核心逻辑

Telegram Web App 通过 URL 查询参数发送回调数据,并且包含一个 hash 参数。该 hash 是基于回调数据的内容和 Telegram 服务器端的秘钥生成的 HMAC 签名。开发者需要验证这个签名,以确保数据的完整性和来源的可靠性。

验证流程

  1. 提取参数:从回调 URL 中提取所有参数,包括 hash
  2. 排序参数:将所有参数按字典顺序排序,确保一致性。
  3. 生成 HMAC:使用 Telegram 提供的秘钥和 SHA-256 算法生成 HMAC 签名。
  4. 比较签名:将生成的 HMAC 与 hash 参数进行比较,判断数据是否被篡改。

Python 代码示例

以下是一个使用 Python 验证 Telegram 回调数据的示例:

import hashlib
import hmac
import urllib.parse

def verify_telegram_data(data, secret):
    # 提取参数
    hash_received = data.pop('hash')
    # 排序参数
    sorted_data = sorted(data.items())
    # 生成待验证字符串
    string_to_sign = '&'.join(f"{key}={value}" for key, value in sorted_data)
    # 生成 HMAC 签名
    hash_key = secret.encode('utf-8')
    hash_calculated = hmac.new(hash_key, string_to_sign.encode('utf-8'), hashlib.sha256).hexdigest()
    
    # 比较签名
    return hash_received == hash_calculated

# 示例数据
data = {
    'user_id': '12345',
    'first_name': 'John',
    'last_name': 'Doe',
    'hash': 'expected_hash_value'
}

secret = 'your_telegram_secret_key'
is_valid = verify_telegram_data(data, secret)
print("数据有效:" if is_valid else "数据无效:可能被篡改")

JavaScript 代码示例

以下是一个使用 JavaScript 验证 Telegram 回调数据的示例:

const crypto = require('crypto');

function verifyTelegramData(data, secret) {
    const hashReceived = data.hash;
    delete data.hash;
    
    // 排序参数
    const sortedKeys = Object.keys(data).sort();
    const sortedData = sortedKeys.map(key => `${key}=${data[key]}`).join('&');
    
    // 生成 HMAC 签名
    const hashCalculated = crypto.createHmac('sha256', secret)
                                  .update(sortedData)
                                  .digest('hex');
    
    // 比较签名
    return hashReceived === hashCalculated;
}

// 示例数据
const data = {
    user_id: '12345',
    first_name: 'John',
    last_name: 'Doe',
    hash: 'expected_hash_value'
};

const secret = 'your_telegram_secret_key';
const isValid = verifyTelegramData(data, secret);
console.log(isValid ? "数据有效:" : "数据无效:可能被篡改");

高级优化建议

  1. 使用 HTTPS:始终通过 HTTPS 进行数据传输,降低被中间人攻击的风险。
  2. 定期轮换秘钥:定期更换 HMAC 签名使用的秘钥,以增强安全性。
  3. 记录和监控:记录请求日志,并监控异常访问模式,以便及时发现潜在攻击。
  4. 采用更强的加密算法:考虑使用更强的加密算法和更长的秘钥长度来增加破解难度。

方案对比表

方案优点缺点
HMAC 验证简单有效,能确保数据完整性需要安全秘钥管理
HTTPS 传输提供了安全的传输层依赖网络配置,可能会有证书问题
定期秘钥轮换增强安全性,降低长期攻击风险增加了秘钥管理的复杂性
记录和监控便于及时发现和响应潜在攻击需要额外的存储和处理能力

通过上述方法,开发者可以有效地判断 Telegram 回调数据(Web App Data)是否被中间人篡改过,并采取相应的措施加强应用的安全性。

本文由 ApiAnswer 原创。我们在 API 集成、自动化流程和 Telegram Bot 开发领域拥有丰富经验。

遇到技术瓶颈? 获取专家支持