如何在JIRA webhook中添加身份验证标头

Question

我正在编写一些Java REST API，它们将通过JIRA管理控制台配置的Web Hook调用。但是，在JIRA中配置Web挂钩时，我没有看到任何添加身份验证标头的方法。

没有标题，就任何人都可以调用我的Java REST API而言存在安全问题。

有人可以在这里建议如何在web钩子中添加自定义标头，可能还有一些例子。我已经阅读了Atlassian develper文档但在那里找不到任何解决方案。

Answer 1

将用户名和密码添加到Jira Cloud webhook URL，例如

• http://user:password@mycallbackurl.com

不幸的是，Jira Cloud忽略了

。似乎其他Atlassian产品确实能够为基本身份验证设置标头/提供用户名和密码。

另见：

• https://jira.atlassian.com/browse/JRA-31953
• https://answers.atlassian.com/questions/12270170/where-does-the-webhook-arrive-from。

您基本上有两个选择：

• 您可以在webhook网址中添加API密钥或某种秘密。缺点是秘密可能会显示在您的Web服务器日志中。
• 不信任webhook POST正文（JSON）并从API中提取信息。

将Atlassian服务器IPS添加到白名单也是有意义的：

• https://confluence.atlassian.com/cloud/database-and-ip-information-744721662.html#DatabaseandIPinformation-IPAddressrange。

虽然它不能完全消除攻击媒介，因为攻击也可以来自另一个Jira云环境。

Answer 2

不支持在JIRA webhook配置中添加额外的标头。因此，无法在webhook配置中添加身份验证标头。 要进行身份验证，一种方法是 1）从传入的JSON中检索用户信息 2）进行JIRA REST API调用以检查用户的真实性 3）拒绝或允许基于结果进一步处理