Я использую интеграцию smooch whatsapp
и smooch webhook
для создания бота в WhatsApp.
Я хочу аутентифицировать постов, поступающих с моего вебхука.
Я видел в документах, что в заголовках есть переменная: x-api-key
, которую нужно использовать именно для этого:
Я не могу найти никакого объяснения того, как эта переменная используется. Я понял, что он содержит Секретный ключ из webhook
. Но что еще?
Как мне создать из данные/тело другую подпись, чтобы проверить, соответствует ли она тому, что отправлено в заголовке?
Я раньше не использовал целующиеся вебхуки, но чтение их документации заставляет меня поверить в следующее:
X-Api-Key
— это не обычная подпись веб-перехватчика, используемая для подписи полезной нагрузки. На самом деле это просто простой секрет, возвращаемый в каждом POST-запросе веб-перехватчика для события.secret
.X-Api-Key
для секрета в каждом запросе события веб-перехватчика, чтобы проверить подлинность.
^ Верно. Заголовок X-Api-Key является общим секретом, а не цифровой подписью.