Hasło słownika

Bezpieczeństwo webhooków

Zestaw praktyk, które pozwalają zweryfikować, że webhook pochodzi od właściwego nadawcy i nie został podmieniony.

Programowaniekategoria
1aliasy
Kategoria: Programowanie
Aliasy: Webhook signature

Opis

Najczęściej używa się podpisu HMAC i porównania po stronie serwera, plus limity czasu i whitelistę IP (jeśli ma sens). Bez tego webhook to otwarte drzwi z napisem 'zapraszam'.

Przykłady

  • Weryfikujesz podpis w nagłówku i body.
  • Odrzucasz eventy starsze niż 5 minut.
  • W logach masz trace id dla każdego eventu.
WebhookNagłówki HTTPLogging