Webhook検証
概要
ユーザーがメッセージに返信すると、BotBellはHTTP POSTでreply_urlに返信を送信します。署名を検証してリクエストの信頼性を確認してください。
| 署名ヘッダー | X-Webhook-Signature: sha256=... |
| タイムスタンプヘッダー | X-Webhook-Timestamp: 1234567890 |
仕組み
- ヘッダーからX-Webhook-TimestampとX-Webhook-Signatureを取得
- タイムスタンプが5分以内か確認(リプレイ攻撃防止)
- webhook_secretで{timestamp}.{body}のHMAC-SHA256を計算
- 署名と比較(定数時間比較)
signature = HMAC-SHA256(
key: webhook_secret,
message: "{timestamp}.{request_body}"
)Python
from botbell import verify_webhook, WebhookVerificationError
try:
verify_webhook(
body=request.body,
signature_header=request.headers["X-Webhook-Signature"],
timestamp_header=request.headers["X-Webhook-Timestamp"],
secret="your_webhook_secret",
)
except WebhookVerificationError:
return {"error": "Invalid signature"}, 401
# Signature valid — process the reply
data = json.loads(request.body)JavaScript
import { verifyWebhook, WebhookVerificationError } from "@botbell/sdk";
try {
verifyWebhook({
body: req.body,
signature: req.headers["x-webhook-signature"],
timestamp: req.headers["x-webhook-timestamp"],
secret: "your_webhook_secret",
});
} catch (e) {
if (e instanceof WebhookVerificationError) {
return res.status(401).json({ error: e.message });
}
throw e;
}
// Signature valid — process the reply
const data = JSON.parse(req.body);