Skip to content

Webhook-Verifizierung

Überblick

Wenn ein Benutzer auf eine Nachricht antwortet, sendet BotBell die Antwort per HTTP POST an Ihre reply_url. Verifizieren Sie die Signatur, um die Authentizität sicherzustellen.

Signatur-HeaderX-Webhook-Signature: sha256=...
Zeitstempel-HeaderX-Webhook-Timestamp: 1234567890

Funktionsweise

  1. X-Webhook-Timestamp und X-Webhook-Signature aus den Headern extrahieren
  2. Prüfen, ob der Zeitstempel innerhalb von 5 Minuten liegt (verhindert Replay-Angriffe)
  3. HMAC-SHA256 von {timestamp}.{body} mit Ihrem Webhook-Secret berechnen
  4. Mit der Signatur vergleichen (Konstantzeit-Vergleich)
signature = HMAC-SHA256(
  key: webhook_secret,
  message: "{timestamp}.{request_body}"
)

Python

from botbell import verify_webhook, WebhookVerificationError

try:
    verify_webhook(
        body=request.body,
        signature_header=request.headers["X-Webhook-Signature"],
        timestamp_header=request.headers["X-Webhook-Timestamp"],
        secret="your_webhook_secret",
    )
except WebhookVerificationError:
    return {"error": "Invalid signature"}, 401

# Signature valid — process the reply
data = json.loads(request.body)

JavaScript

import { verifyWebhook, WebhookVerificationError } from "@botbell/sdk";

try {
  verifyWebhook({
    body: req.body,
    signature: req.headers["x-webhook-signature"],
    timestamp: req.headers["x-webhook-timestamp"],
    secret: "your_webhook_secret",
  });
} catch (e) {
  if (e instanceof WebhookVerificationError) {
    return res.status(401).json({ error: e.message });
  }
  throw e;
}

// Signature valid — process the reply
const data = JSON.parse(req.body);