保护Smooch Webhooks

Question

我使用smooch whatsapp集成和smooch webhook在whatsapp中创建一个机器人。

我想通过验证中来自web钩子的帖子。

我在文档中看到，头文件中有一个变量：x-api-key，应该准确地用于该变量：

​

​

对于如何使用这个变量，我找不到任何解释。我意识到它包含了密钥的webhook。但还有什么？

如何从数据/正文中创建另一个签名，以检查它是否与标头中发送的签名匹配？

Answer 1

我以前没有使用过抚摸钩子，但是我对他们的文档的阅读让我相信以下几点：

• X-Api-Key并不是通常用于签署有效载荷的web钩子签名。实际上，这只是一个简单的秘密，在每个web钩子请求中返回一个事件。
• 当您使用创建web钩子并在secret字段中返回时，这个秘密将自动生成。
• 您还可以使用网钩端点获取秘密。其他方法似乎也返回了这个秘密。
• 以某种方式保存秘密，然后简单地比较每个web钩子事件请求上的秘密的X-Api-Key头值，以验证真实性。
• 只要有必要，您可以通过编程删除和重新创建web钩子来旋转秘密。