DocuSign: Как проверить запросы Webhoook?

Question

На этой странице: https://developers.docusign.com/esign-rest-api/code-examples/webhook-status, последний раздел называется: There’s more. И там вы можете прочитать, что есть 3 способа проверить, что DocuSign делает запрос веб-перехвата:

1. вы можете проверить сертификат SSL / TSL вызывающей стороны веб-хука (DocuSign).
2. установите для DocuSign цифровую подпись данных
3. DocuSign публикует диапазоны IP-адресов

Если мы рассмотрим все эти варианты, мы получим:

1. Этоfalse, вы не можете проверить SSL-сертификат того, кто делает запрос к вам. Сертификаты SSL предназначены для использования клиентами, подключающимися к серверам, для проверки того, что в промежуточной атаке нет человека. И только клиент может проверить сертификат сервера, а не наоборот.
2. Я не могу найти на странице упоминания о том, как установить подпись и, что наиболее важно, как ее проверить.
3. Ссылка на общедоступные IP-адреса: https://trust.docusign.com/en-us/trust-certifications/ip-ranges/, не работает.

Мои вопросы:

1. Где я могу найтинекоторая документация о процессе подписи?
2. Где находится страница с общедоступными IP-адресами?

Answer 1

Лучший способ сделать это - создать ключ HMAC и использовать его для подтверждения подлинности вызовов.

Вот полная статья о том, как это сделать - https://developers.docusign.com/esign-rest-api/guides/connect-hmac

Answer 2

Спасибо за сообщение об устаревшей документации. Я подал внутренний отчет об ошибке DEVDOCS-1565, чтобы обновить его.

Как говорит Инбар в своем ответе, в наши дни лучшим решением является HMAC. Вы также можете комбинировать его с базовой аутентификацией, если вы используете веб-хиты DocuSign на уровне учетной записи.

HMAC дает вам гарантии того, что сообщение действительно было отправлено из DocuSign и что сообщение не было изменено при передаче.

Не настраивать сервер в Интернете

Старый способ получения сообщений через веб-крючок заключался в настройке сервера, доступного в общедоступном Интернете. Из-за затрат и проблем информационной безопасности, связанных с созданием и обслуживанием службы в Интернете, в эти дни я предлагаю вам ее пропустить.

Вместо этого используйте облако PAAS (AWS, Azure, Google Cloud и т. Д.) Дляполучать и ставить сообщения в очередь. Затем из-за брандмауэра вы можете удалить их из очереди и обработать. (Без изменений в вашем брандмауэре.)

См. Connect- примеры примеров кода .

Взаимный TLS для проверки сертификата клиента

Обратите внимание, что вы можете проверить сертификат клиента. Эта особенность протокола TLS (ne SSL) называется Mutual TLS и поддерживается веб-крючками DocuSign.

Но HMAC лучше, поскольку он также гарантирует целостность сообщения.