Обеспечение Smooch Webhooks - PullRequest
Новая
       55

Обеспечение Smooch Webhooks

1 голос
/ 21 мая 2019

Я использую smooch whatsapp интеграцию и smooch webhook, чтобы создать бота в WhatsApp.

Я хочу аутентифицировать сообщения, которые приходят из моего webhook.

Я видел в документах, что в заголовках есть переменная: x-api-key, которая должна использоваться именно для этого:

x-api-key

Я не могу найти какое-либо объяснение того, как используется эта переменная. Я понял, что он содержит секретный ключ из webhook. Но что еще?

Как создать из data / body другую подпись, чтобы проверить, соответствует ли она отправленной в заголовке?

1 Ответ

2 голосов
/ 21 мая 2019

Я раньше не пользовался Smooch webhooks , но мое чтение их документов заставляет меня поверить в следующее:

  • X-Api-Key - это не обычный веб-крючокподпись используется для подписи полезной нагрузки.На самом деле это просто простой секрет, возвращаемый в каждом POST-запросе webhook для события.
  • Секрет автоматически генерируется при создании webhook и возвращается в поле secret.
  • Секрет также можно получить с помощью конечной точки GET webhook .Другие методы также могут возвращать секрет.
  • Как-то сохранить секрет, а затем просто сравнить значение заголовка X-Api-Key для секрета в каждом запросе события webhook, чтобы проверить подлинность.
  • Вы можете повернутьсекрет путем программного удаления и повторного воссоздания веб-крючка при необходимости.
...