Как использовать токен верификатора intuit webhook на веб-перехватчике

Question

Я создал веб-перехватчик с учетной записью разработчика intuit https://developer.intuit.com/app/developer/qbo/docs/develop/webhooks#configuring -webhooks

Он работает нормально, мой вопрос в том, как использовать токен верификатора для защиты веб-перехватчика?

Я вижу различные заголовки intuit, но не знаю, как их использовать

заголовки

Answer 1

Существует подробная документация

1. Ha sh полезная нагрузка уведомления с HMAC_SHA256_ALGORITHM с использованием вашего токена верификатора в качестве ключа.
2. Преобразование заголовка подписи intuit из base-64 с основанием-16.
3. Сравните значение из шага 1 с заголовком intuit-signature из уведомления. Значения должны быть идентичными.

https://developer.intuit.com/app/developer/qbo/docs/develop/webhooks/managing-webhooks-notifications#validating -the-notification

Вот дополнительная информация, как сгенерировать HMA C ha sh ( Использование HMA C SHA256 в Ruby) и как преобразовать подпись base64 в base16 ( Преобразование шестнадцатеричного дайджеста в base64 в Ruby). Для сравнения значений Rails реализует метод safe_compare (https://api.rubyonrails.org/classes/ActiveSupport/SecurityUtils.html).