当前位置：首页 > news >正文

Webhook端口中的自签名身份验证

news 2025/7/29 9:00:25

概述

有时，可能需要通过 Webhook 端口从交易伙伴处接收数据，但该交易伙伴可能需要更多的安全性，而不仅仅是用于验证入站 Webhook 请求的基本身份验证用户名/密码 – 或者您可能只想在入站 Webhook 消息上添加额外的安全层。

使用 Webhook 端口的自定义响应功能，您实际上可以创建自己的 HTTP 签名身份验证逻辑，通过使用分配给请求标头的 HMAC 签名值，对入站 Webhook 请求执行一些额外的身份验证。

Script脚本

这个脚本是我在这篇文章附带的 Webhook 端口的 Response 事件中编写的脚本：

<!-- setting the secret key value to be available globally -->
<arc:set attr="secret.key" value="test" /><!-- specifying the HMAC format, key value, algorithm, bits and output to result in HMACSHA256 -->
<arc:set attr="encIn.format" value="HMAC" />
<arc:set attr="encIn.hmackey" value="[secret.key]" />
<arc:set attr="encIn.hmacalgorithm" value="SHA" />
<arc:set attr="encIn.hmacbits" value="256" />
<arc:set attr="encIn.outformat" value="HEX" />
<!-- setting the data that should be included in order to create the hash. this is the body of the request -->
<arc:set attr="encIn.data">[_message.body]</arc:set><!-- generating signature HMAC hex digest hash -->
<arc:call op="encEncode" in="encIn" out="encOut"><arc:set attr="calculated.signature" value="sha256=[encOut.encodeddata]" /><!-- comparing the signature on the request to the signature calcuated above --><arc:if exp="[_httpheaders.X-Hub-Signature-256 | equals([calculated.signature | tolower()])]"><arc:set attr="_response.write"><Status>Success!</Status></arc:set><arc:set attr="_response.statuscode" value="200" /><arc:set attr="_response.statusdescription" value="OK" /><arc:else><arc:set attr="_response.write"><Status>The signature provided in the request did not match the expected signature. The expected value is [calculated.signature | tolower()]</Status></arc:set><arc:set attr="_response.statuscode" value="401" /><arc:set attr="_response.statusdescription" value="Unauthorized: Signature Mismatch" /><arc:throw code="500" desc="The signature provided in the request did not match the expected signature. The expected value is [calculated.signature | tolower()]" /></arc:else></arc:if>

下面提供了有关与此脚本关联的部分的进一步说明，但上面脚本的每个主要部分都包含一个注释，概述了该脚本部分正在执行的操作。点击了解此处使用的主要 ArcScript 操作。

实现

GitHub 的 webhook 请求的工作方式是，每次我的一个存储库发生推送事件时，它都会向配置的 API 端点（在本例中为知行之桥EDI系统的 Webhook 端口）发送 POST 请求。这只是特定于 GitHub，但这里的想法可以转移到任何其他自动化系统，甚至是能够发送 REST 请求的自定义实现。

出于测试目的，我的“秘密”只是一个简单的“测试”字符串。

推送事件发生后，GitHub 会向 URL 发送一个包含一些 JSON 数据的 POST。GitHub 使用 POST 的密钥和正文计算 HMAC 十六进制摘要，并将其作为标头（X-Hub-Signature-256）包含在内。

此请求到达 Webhook 端口后，自定义脚本实际上会使用传入请求的密钥和截获的正文生成相同的 HMAC 十六进制摘要，将其与 X-Hub-Signature-256 标头中包含的内容进行比较，然后根据结果创建适当的响应。

如果签名匹配，则接受请求，并将 200 OK 返回给 GitHub（即客户端）：

如果签名不匹配，则请求在 Webhook端口的“输出”选项卡中显示为“错误”，并在返回给客户端（GitHub）的响应中显示为 500 错误：

成功的请求在 Arc 中显示为“成功”：

此外，对于失败的请求，可以直接在日志文件中看到 arc：throw 引发的自定义错误：

[2022-11-30T19:47:57.468] [Error] The signature provided in the request did not match the expected signature. The expected value is sha256=26bf09c078ddcf555a6a7cbd362c70e18e7233d0e4cfb056d2e00bc3ba8ee5e4

了解更多关于Webhook的信息。

了解更多 EDI 相关信息，请阅读：EDI是什么？

阅读原文：Webhook端口中的自签名身份验证

Webhook端口中的自签名身份验证

概述

Script脚本

实现

相关文章：

Webhook端口中的自签名身份验证

CSS预处理器（如Sass或Less）：变量、嵌套规则和混合器等高级功能

【Linux】Linux第一个小程序 --- 进度条

每日一练：约瑟夫生者死者小游戏

双指针算法(题目与答案讲解)

python服装电商系统vue购物商城django-pycharm毕业设计项目推荐

数据治理技术：研究现状与数据规范

一文彻底理解索引下推

Springboot3+vue3从0到1开发实战项目（一）

[字符串操作] 有年代的病历单

怎么批量提取文件名字到Excel中？

QT搭建的Ros/librviz的GUI软件

Docker 概述与安装

JS作用域与作用域链

elmentui 查看大图组件点击图片关闭弹窗方法

蓝桥杯官网练习题（最长子序列）

Make sure that using this pseudorandom number generator is safe here.

【C/C++】常见模拟题题解

TikTok 购物和直播的 5 个简单技巧

神经网络中BN层简介及位置分析

Java如何权衡是使用无序的数组还是有序的数组

基于uniapp+WebSocket实现聊天对话、消息监听、消息推送、聊天室等功能，多端兼容

可靠性+灵活性：电力载波技术在楼宇自控中的核心价值

JVM垃圾回收机制全解析

k8s业务程序联调工具-KtConnect

使用LangGraph和LangSmith构建多智能体人工智能系统

PHP 8.5 即将发布：管道操作符、强力调试

在golang中如何将已安装的依赖降级处理，比如：将 go-ansible/v2@v2.2.0 更换为 go-ansible/@v1.1.7

深度解析：etcd 在 Milvus 向量数据库中的关键作用

工厂方法模式和抽象工厂方法模式的battle