Mi a legjobb gyakorlat, hogy biztosítsa a facebook chatbot webhook?

Question

Mi a legjobb gyakorlat, hogy biztosítsa a facebook chatbot webhook?

szavazat

1

Én játszani körül fejlődő chatbot a facebook messenger platform. Végigmentem a Facebook dokumentumot, és nem tudta meg, hogyan, hogy megvédjem a webhookvéletlen hívásokat.

Például, ha a felhasználó vásárolni töm én botoktól, a támadó hogy tudja valaki userId indulhat forgalomba jogosulatlan megbízásból kezdeményezhetnek hívásokat, így az én webhook.

Van néhány ötletet, hogyan védheti ezt.

1) engedélyezőlistára én api csak hívásokat facebook.
2) létrehozása valami hasonló CSRF érmek a postback hívásokat.

Bármilyen ötletet?

facebook-chatbot

A kérdést 14/04/2016 10:48
a forrás felhasználó nate

Más nyelveken...

1 válasz

CBroe · Answer 1 · 2016-04-14 11:35

Facebook természetesen már végrehajtott egy mechanizmust, amellyel ellenőrizheti, hogy kérelmüket a visszahívási URL eredeti (minden más ez csak gondatlanság) - lásd https://developers.facebook.com/docs/graph-api / webhooks # receiveupdates :

A HTTP kérés tartalmaz egy X-Hub-Signaturefejlécet, amely tartalmazza az SHA1 aláírást a kérés hasznos, az alkalmazás használata titkos kulcsként, és előzi meg sha1=. A visszahívás végpont ellenőrizni tudja az aláírást ellenőrizni a integritását és eredetét a hasznos teher

Felhívjuk figyelmét, hogy a számítást elvégezni a szökött unicode verzióját a hasznos, a kisbetűs hexa számjegy. Ha csak számítani ellen a dekódolt bájt, akkor a végén egy másik aláírást. Például a húr äöåkell menekült \u00e4\u00f6\u00e5.