Webhook 검증
개요
사용자가 메시지에 답변하면 BotBell은 HTTP POST로 reply_url에 답변을 보냅니다. 서명을 검증하여 요청의 진위를 확인하세요.
| 서명 헤더 | X-Webhook-Signature: sha256=... |
| 타임스탬프 헤더 | X-Webhook-Timestamp: 1234567890 |
작동 방식
- 헤더에서 X-Webhook-Timestamp와 X-Webhook-Signature 추출
- 타임스탬프가 5분 이내인지 확인 (리플레이 공격 방지)
- webhook_secret으로 {timestamp}.{body}의 HMAC-SHA256 계산
- 서명과 비교 (상수 시간 비교)
signature = HMAC-SHA256(
key: webhook_secret,
message: "{timestamp}.{request_body}"
)Python
from botbell import verify_webhook, WebhookVerificationError
try:
verify_webhook(
body=request.body,
signature_header=request.headers["X-Webhook-Signature"],
timestamp_header=request.headers["X-Webhook-Timestamp"],
secret="your_webhook_secret",
)
except WebhookVerificationError:
return {"error": "Invalid signature"}, 401
# Signature valid — process the reply
data = json.loads(request.body)JavaScript
import { verifyWebhook, WebhookVerificationError } from "@botbell/sdk";
try {
verifyWebhook({
body: req.body,
signature: req.headers["x-webhook-signature"],
timestamp: req.headers["x-webhook-timestamp"],
secret: "your_webhook_secret",
});
} catch (e) {
if (e instanceof WebhookVerificationError) {
return res.status(401).json({ error: e.message });
}
throw e;
}
// Signature valid — process the reply
const data = JSON.parse(req.body);