webhooks - 使用签名通知保护对讲 webhook：哪些数据会被散列？

Question

我正在尝试保护我的 Intercom webhook 端点，并按照此处列出的说明进行操作：

• https://developers.intercom.com/intercom-api-reference/reference#signed-notifications
• https://www.intercom.com/help/apps-in-intercom/apps/webhooks

问题是，这些资源都不清楚实际对哪些数据进行哈希处理以创建签名，而且我尝试了很多不同的方法，但仍然没有得到匹配。

有谁知道通知请求的哪一部分用于生成包含在该x-hub-signature标头中的 sha1 哈希？

Answer 1

我建议查看intercom-webhooks GitHub 存储库，以了解如何处理 webhook 签名的各种编程语言的示例代码。

签名是使用 POST 请求的整个有效负载计算的。