Проверка Webhook
Обзор
Когда пользователь отвечает на сообщение, BotBell отправляет ответ на ваш reply_url через HTTP POST. Проверьте подпись, чтобы убедиться в подлинности запроса.
| Заголовок подписи | X-Webhook-Signature: sha256=... |
| Заголовок метки времени | X-Webhook-Timestamp: 1234567890 |
Как это работает
- Извлеките X-Webhook-Timestamp и X-Webhook-Signature из заголовков
- Проверьте, что метка времени в пределах 5 минут (защита от атак повторного воспроизведения)
- Вычислите HMAC-SHA256 для {timestamp}.{body} с вашим webhook secret
- Сравните с подписью (сравнение за постоянное время)
signature = HMAC-SHA256(
key: webhook_secret,
message: "{timestamp}.{request_body}"
)Python
from botbell import verify_webhook, WebhookVerificationError
try:
verify_webhook(
body=request.body,
signature_header=request.headers["X-Webhook-Signature"],
timestamp_header=request.headers["X-Webhook-Timestamp"],
secret="your_webhook_secret",
)
except WebhookVerificationError:
return {"error": "Invalid signature"}, 401
# Signature valid — process the reply
data = json.loads(request.body)JavaScript
import { verifyWebhook, WebhookVerificationError } from "@botbell/sdk";
try {
verifyWebhook({
body: req.body,
signature: req.headers["x-webhook-signature"],
timestamp: req.headers["x-webhook-timestamp"],
secret: "your_webhook_secret",
});
} catch (e) {
if (e instanceof WebhookVerificationError) {
return res.status(401).json({ error: e.message });
}
throw e;
}
// Signature valid — process the reply
const data = JSON.parse(req.body);