Vérification des signatures webhook

Tabata Vossen -

ūüöÄ Si vous le d√©sirez, vous pouvez v√©rifier que les √©v√©nements webhook ont √©t√© envoy√©s par Qualifio et non par un tiers.

Note
Valider la signature webhook est optionnel. Cependant, ceci est important pour sécuriser les données et pour protéger votre application et vos serveurs contre les abus. Cette fonctionnalité peut être utilisée conjointement avec un mécanisme d'authentification du webhook (le cas échéant).

Définir une clé secrète

Vous devrez configurer votre clé secrète à deux endroits : dans Qualifio et sur votre serveur (stockée dans une variable d'environnement).

Pour ajouter votre clé secrète à votre compte Qualifio :

  1. Accédez aux paramètres webhook 2.0 de votre compte.
  2. Saisissez votre clé secrète dans la zone de texte Webhook secret.
    Schermafbeelding_2021-12-17_om_16.17.33.png
  3. Cliquez sur Sauvegarder.

Apr√®s cette configuration, Qualifio commence √† signer les √©v√©nements webhook envoy√©s √† votre point de terminaison (URL √† laquelle les notifications sont envoy√©es) ūüĎĆūüŹľ

Qualifio utilise l'algorithme de hachage HMAC SHA-256. Nous signons toutes les charges utiles avec une signature :

X-Qualifio-Signature: sha256=

Vous pouvez alors utiliser cette signature pour vérifier l'authenticité du webhook reçu.

Valider la signature

Avant de pouvoir valider une signature, vous devez la g√©n√©rer de votre c√īt√© en utilisant la cl√© secr√®te et la charge utile. Hashez le tout (avec SHA-256), et comparez ensuite votre signature √† la signature dans l'en-t√™te.

Si la valeur trouvée dans l'en-tête et votre signature calculée correspondent, vous pouvez être certain(e) que le webhook a été envoyé par Qualifio et que la charge utile est authentique. Si elles ne correspondent pas, cela signifie que quelque chose ne va pas : l'implémentation n'est pas correcte, la clé secrète n'est pas le bonne, la charge utile a été modifiée, ou bien elle ne provient pas de Qualifio.

Conseil pratique
En cas de réinitialisation de la clé secrète, n'oubliez pas de mettre à jour la nouvelle clé dans Qualifio après l'avoir modifiée sur votre serveur, car les nouveaux événements pourraient ne pas passer la vérification. Les paramètres peuvent être mis en cache pendant 30 minutes.