Jaka jest najlepsza praktyka, aby zabezpieczyć facebook Chatbot webhook?

Question

Jaka jest najlepsza praktyka, aby zabezpieczyć facebook Chatbot webhook?

głosy

1

Bawię się wokół z rozwojem chatbot na platformie facebook messenger. Przeszedłem dokumentu Facebooku i nie mogła znaleźć sposobu, aby chronić swoje webhookod przypadkowych połączeń.

Na przykład, jeśli użytkownicy mogą kupować pasz z moich botów, atakujący, który wie czyjąś userid może rozpocząć wprowadzanie nieautoryzowanych zamówień przez wykonywanie połączeń do mojego webhook.

Mam kilka pomysłów na to, jak chronić.

1) białej listy moje API wywołuje tylko z facebook.
2) Utwórz coś CSRF żetony z połączeniami odświeżenie strony.

Jakieś pomysły?

facebook-chatbot

Utwórz 14/04/2016 o 10:48
źródło użytkownik nate

W innych językach...

1 odpowiedzi

CBroe · Answer 1 · 2016-04-14 11:35

Facebook ma oczywiście już wdrożony mechanizm, dzięki któremu można sprawdzić, czy wnioski złożone do wywołania zwrotnego adresu URL są prawdziwe (wszystko inne będzie tylko zaniedbania z ich strony) - Zobacz https://developers.facebook.com/docs/graph-api / webhooks # receiveupdates :

Żądanie HTTP będzie zawierać X-Hub-Signaturenagłówek, który zawiera SHA1 podpis żądanie ładowności, korzystając z aplikacji w tajemnicy jako klucz i prefiksem sha1=. Twój końcowy zwrotna może zweryfikować ten podpis do sprawdzania integralności i pochodzenia ładunku

Należy pamiętać, że obliczenia są dokonywane na zbiegłego unicode wersji ładowności, z małymi cyfry szesnastkowe. Jeśli po prostu obliczyć przed dekodowany bajtów, skończy się z innym podpisem. Na przykład, łańcuch äöåpowinien być uciekł \u00e4\u00f6\u00e5.