Защита веб-хуков Smooch
Я использую интеграцию smooch whatsapp и smooch webhook для создания бота в WhatsApp.
Я хочу аутентифицировать постов, поступающих с моего вебхука.
Я видел в документах, что в заголовках есть переменная: x-api-key, которую нужно использовать именно для этого:
Я не могу найти никакого объяснения того, как эта переменная используется. Я понял, что он содержит Секретный ключ из webhook. Но что еще?
Как мне создать из данные/тело другую подпись, чтобы проверить, соответствует ли она тому, что отправлено в заголовке?
Стоит ли изучать PHP в 2026-2027 годах?
Привет всем, сегодня я хочу высказать свои соображения по поводу вопроса, который я уже много раз получал в своем сообществе: "Стоит ли изучать PHP в...
Поведение ключевого слова "this" в стрелочной функции в сравнении с нормальной функцией
В JavaScript одним из самых запутанных понятий является поведение ключевого слова "this" в стрелочной и обычной функциях.
Приемы CSS-макетирования - floats и Flexbox
Здравствуйте, друзья-студенты! Готовы совершенствовать свои навыки веб-дизайна? Сегодня в нашем путешествии мы рассмотрим приемы CSS-верстки - в...
Тестирование функциональных ngrx-эффектов в Angular 16 с помощью Jest
В системе управления состояниями ngrx, совместимой с Angular 16, появились функциональные эффекты. Это здорово и делает код определенно легче для...
Концепция локализации и ее применение в приложениях React ⚡️
Локализация - это процесс адаптации приложения к различным языкам и культурным требованиям. Это позволяет пользователям получить опыт, соответствующий...
Пользовательский скаляр GraphQL
Листовые узлы системы типов GraphQL называются скалярами. Достигнув скалярного типа, невозможно спуститься дальше по иерархии типов. Скалярный тип...
1
0
206
1
Перейти к ответу
Данный вопрос помечен как решенный
Ответы 1
Ответ принят как подходящий
Я раньше не использовал целующиеся вебхуки, но чтение их документации заставляет меня поверить в следующее:
X-Api-Key— это не обычная подпись веб-перехватчика, используемая для подписи полезной нагрузки. На самом деле это просто простой секрет, возвращаемый в каждом POST-запросе веб-перехватчика для события.- Секрет генерируется автоматически, когда вы создать вебхук, и возвращается в поле
secret. - Вы также можете получить секрет, используя конечную точку ПОЛУЧИТЬ вебхук. Другие методы также возвращают секрет.
- Как-нибудь сохраните секрет, а затем просто сравните значение заголовка
X-Api-Keyдля секрета в каждом запросе события веб-перехватчика, чтобы проверить подлинность. - Вы можете изменить секрет, программно удалив и заново создав веб-перехватчик, когда это необходимо.
Другие вопросы по теме
Какое значение имеет «домен издателя» в регистрации приложения AAD
Регистрация приложения AAD не принимает параметр строки запроса
Требуется простая программная аутентификация в Azure AD
Войдите как другой пользователь в AWS Cognito
Стандартные ключи MIFARE Classic
Неудовлетворенная зависимость
Как загрузить исходный HTML-код на Java, когда страница требует входа?
Как сделать маршрут /login доступным только для анонимных пользователей в Symfony4?
Как я могу управлять сериализацией утверждений, билетов и свойств ASP.NET Core Cookie Authentication?
Как пользователи могут оставаться в моем приложении Flutter?
Похожие вопросы
Я хочу знать, как передавать значения после выполнения функции rest API без сохранения данных в MongDB
Каков самый легкий способ получить последнюю измененную дату и время из приложения Aqueduct?
Angularjs — как внедрить геттеры и сеттеры в модель данных?
Загрузите файл json из REST API
Как обрабатывать бэкэнд-запрос django для вошедшего в систему пользователя в режиме RESTfull?
Как использовать REST Api, а затем отображать главные новости в формате JSON
Как настроить страницу ошибки Spring в формате JSON с помощью web.xml и контроллера ошибок
Загрузить файл в OneDrive с помощью RestAPI
Как создать REST-сервис на C# без использования ASP.NET
Вызов REST API, возвращающий неопределенный список из JSON
^ Верно. Заголовок X-Api-Key является общим секретом, а не цифровой подписью.