用签名的通知保护内部通信网络挂钩:哪些数据会被散列？

Question

我正在尝试保护我的对讲机web钩子端点，并且我遵循这里概述的说明：

• https://developers.intercom.com/intercom-api-reference/reference#signed-notifications
• https://www.intercom.com/help/apps-in-intercom/apps/webhooks

问题是，这些资源都不清楚哪些数据会被散列来创建签名，而且我尝试了很多不同的东西，但仍然没有得到匹配。

有人知道通知请求的哪一部分用于生成包含在该sha1头中的x-hub-signature哈希吗？

Answer 1

我建议阅读对讲机-网络钩 GitHub repo，例如，在各种编程语言中查看如何处理web钩子签名的代码。

签名使用POST请求的整个有效负载来计算。