facebook chatbot webhook sabitlemek için en iyi yöntem nedir?

Question

facebook chatbot webhook sabitlemek için en iyi yöntem nedir?

oy

1

Ben facebook messenger platformunda bir chatbot gelişmekte etrafında oynuyorum. Ben Facebook belgesinde geçti ve gözlerimi korumak için nasıl bulamadı webhookrastgele aramalardan.

Örneğin, kullanıcılar, benim botlar ile benim webhook çağrıları yaparak izinsiz siparişlerini başlayabilir birinin userId bilen bir saldırganı maddeleri satın eğer.

Bunu nasıl korunacağına ilişkin çeşitli fikirler var.

1) Sadece Facebook'a aramaları benim API beyaz listeye.
CSRF geri gönderme çağrıları ile belirteçleri gibi 2) şey oluşturun.

Herhangi bir fikir?

facebook-chatbot

Oluştur 14/04/2016 saat 10:48
kaynak kullanıcı nate

Diğer dillerde...

1 cevaplar

CBroe · Answer 1 · 2016-04-14 11:35

Bkz - zaten geri arama URL'ye yapılan istekler (her şey sadece ve ihmal olurdu) hakiki olup olmadığını kontrol edebileceği bir mekanizma hayata Facebook tabii etmiştir https://developers.facebook.com/docs/graph-api / # receiveupdates webhooks :

HTTP isteği içerir X-Hub-Signatureanahtar olarak uygulama gizli kullanılarak isteği bilgisi SHA1 imzayı içeren başlık ve öneki sha1=. Sizin geri arama uç nokta yük bütünlüğünü ve kökenini doğrulamak için bu imzayı doğrulamak

Hesaplama yapılır unutmayınız kaçan unicode küçük harf onaltılık basamak ile, yük sürümü. Sadece kodu çözülmüş bayt karşı hesaplarsak, farklı bir imza ile sona erecek. Örneğin, dize äöåkaçmış edilmelidir \u00e4\u00f6\u00e5.