保护Smooch Webhooks
我使用smooch whatsapp集成和smooch webhook在whatsapp中创建一个机器人。
我想验证来自我的网络挂钩的帖子。
我在文档中看到,标头x-api-key中有一个变量,应该完全用于该变量:
我找不到有关如何使用此变量的任何解释。我意识到它包含webhook的秘密密钥。但是还有什么呢?
如何从 data / body 创建另一个签名以检查其是否与标头中发送的签名匹配?
1 个答案:
答案 0 :(得分:2)
我以前没有使用过Smooch webhooks,但是我阅读他们的文档使我相信以下几点:
-
X-Api-Key不是用于对有效负载进行签名的常用Webhook签名。实际上,这只是每个事件的Webhook POST请求中返回的简单秘密。 - 当您create the webhook并在
secret字段中返回时,机密会自动生成。 - 您还可以使用GET webhook端点来获取机密。其他方法似乎也可以返回秘密。
- 以某种方式保存机密,然后只需在每个Webhook事件请求上比较机密的
X-Api-Key标头值,即可验证其真实性。 - 您可以在需要时通过编程方式删除并重新创建Webhook来旋转机密。
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?