我计划使用 Azure 事件网格作为发布-订阅机制。我们想使用自定义 webhook 作为对事件网格主题的订阅。虽然我能够成功使用验证请求,但有什么方法可以为暴露的 webhook 端点实现身份验证和/或 DDOS 保护?我遇到了一个查询字符串参数解决方案,但这似乎不是很合法。
问问题
1033 次
1 回答
1
如果你不想暴露端点,你可以在它前面放一些类似 API 管理的东西。但是,您必须在入站策略中处理验证部分。这是一个示例:https ://github.com/dbarkol/EventGrid-API-Management/blob/master/eventgrid-apim-policy.xml
对于自定义端点,您可以采取的其他防御措施是:
- 确保 aeg-event-type 值设置为通知传入事件。
- 检查负载中的订阅 ID(如果是未知发件人则拒绝)
- 继续使用查询字符串参数并在每次调用时进行验证。
查询字符串参数是安全的,永远不会被追踪。
于 2018-05-07T05:54:29.707 回答