Webhook Signature Sécurité
Vérifiez l'authenticité des webhooks reçus avec la signature cryptographique.
N'importe qui connaissant l'URL de votre endpoint webhook pourrait potentiellement y envoyer de fausses alertes. La signature cryptographique garantit que le webhook vient bien de MoniTao.
Chaque webhook inclut un header de signature que vous pouvez vérifier côté serveur. Sans signature valide, rejetez la requête.
Pourquoi Vérifier la Signature
- Authenticité : Garantit que le webhook vient de MoniTao et non d'un attaquant.
- Intégrité : Assure que le contenu n'a pas été modifié en transit.
- Non-répudiation : Preuve cryptographique que MoniTao a bien envoyé cette alerte.
Comment Fonctionne la Signature
- Secret partagé : MoniTao génère un secret unique pour chaque webhook configuré.
- HMAC SHA-256 : Le payload est signé avec ce secret en utilisant HMAC SHA-256.
- Header X-Signature : La signature est incluse dans le header X-MoniTao-Signature de la requête.
Vérification Côté Serveur
- Récupérer le secret : Stockez le secret webhook de manière sécurisée (variable d'environnement).
- Calculer la signature : Calculez HMAC SHA-256 du body avec votre secret.
- Comparer : Utilisez une comparaison timing-safe pour éviter les attaques par timing.
Questions Fréquentes
Où trouver le secret de signature ?
Dans les paramètres du webhook, après sa création. Copiez-le de manière sécurisée.
Puis-je régénérer le secret ?
Oui, mais pensez à mettre à jour votre serveur avec le nouveau secret.
La vérification est-elle obligatoire ?
Non, mais fortement recommandée. Sans vérification, vous êtes vulnérable aux faux webhooks.
Quel algorithme utilise MoniTao ?
HMAC SHA-256, standard de l'industrie pour la signature de webhooks.
Prêt à dormir sur vos deux oreilles ?
Commencez gratuitement, sans carte bancaire.