Webhook安全性和身份验证
webhook使用身份验证来安全地与目标系统集成签名秘密以验证其请求的完整性.本文描述了受支持的身份验证类型以及如何配置身份验证。
有关参考信息,请参见人则在API文档。
Webhook身份验证
Webhooks支持两种身份验证:基本令牌和承载令牌。这两种类型的身份验证只能在HTTPS (TLS)上使用。
虽然不推荐,但也可以创建一个没有身份验证的webhook。要做到这一点,请省略身份验证
属性。
基本身份验证
基本身份验证使用用户名和密码。要创建具有基本身份验证的webhook,请使用身份验证
属性在创建webhook的请求中指定用户名和密码。
例子
{
“身份验证”:{
“类型”:“basic_auth”,
“数据”:{
“用户名”:“{username}”,
“密码”:“{密码}”
},
“add_position”:“头”
}
}
持票人身份验证
承载身份验证是一种HTTP身份验证方案,通常称为令牌身份验证。不记名令牌是不透明的字符串,它们是OAuth 2.0使用的主要访问令牌类型。
要创建带有承载令牌身份验证的webhook,请使用身份验证
属性在创建webhook的请求中指定令牌。
例子
{
“身份验证”:{
“类型”:“bearer_token”,
“数据”:{
“令牌”:“{牌}”
},
“add_position”:“头”
}
}
Webhook签约秘诀
您可以选择对来自webhook的请求进行签名,以便目标系统可以验证它们的完整性。为此,为webhook创建一个签名秘密,然后将该秘密合并到目标系统的代码中,以验证请求的签名。有关更多信息,请参见验证webhook的真实性.