Vai al contenuto principale
DiffHook/Documenti
GuideVerifica delle firme

Verifica delle firme

DiffHook firma ogni payload webhook in modo da poter verificare che provenga da noi e che non sia stato manomesso.

Come funziona

Ogni richiesta include un'intestazione X-Signature contenente una firma HMAC-SHA256 del corpo della richiesta non elaborata, con il prefisso sha256=.

X-Signature: sha256=abc123def456...

Il tuo segreto di firma è disponibile in App → Impostazioni → Chiavi API.

Verifica in Node.js

Utilizza express.raw() per acquisire i byte del corpo non elaborato prima di qualsiasi analisi JSON. Il calcolo della firma su un oggetto riserializzato produrrà un hash diverso.

const crypto = require('crypto')

function verifySignature(rawBody, signature, secret) {
  const expected = 'sha256=' + crypto
    .createHmac('sha256', secret)
    .update(rawBody)          // raw Buffer — not JSON.stringify(req.body)
    .digest('hex')

  return crypto.timingSafeEqual(
    Buffer.from(signature),
    Buffer.from(expected)
  )
}

// Mount with express.raw() so req.body is the raw Buffer
app.post('/webhook', express.raw({ type: 'application/json' }), (req, res) => {
  const signature = req.headers['X-Signature']
  if (!signature || !verifySignature(req.body, signature, process.env.DIFFHOOK_SIGNING_SECRET)) {
    return res.status(401).send('Invalid signature')
  }

  res.status(200).send('OK')
  const event = JSON.parse(req.body)
  // process event...
})

Verifica in Python

import hmac, hashlib, json

def verify_signature(body: bytes, signature: str, secret: str) -> bool:
    expected = 'sha256=' + hmac.new(
        secret.encode(),
        body,
        hashlib.sha256
    ).hexdigest()
    return hmac.compare_digest(signature, expected)

Note importanti

  • Utilizzare sempre crypto.timingSafeEqual (o equivalente) per prevenire attacchi temporali
  • Calcola la firma dai byte grezzi del corpo della richiesta, prima dell'analisi JSON
  • Se manca X-Signature rifiutare la richiesta

Rotazione del segreto della firma

Ruota il tuo segreto di firma in Impostazioni in qualsiasi momento. Dopo la rotazione, le vecchie firme falliranno: aggiorna la tua distribuzione prima di revocare il vecchio segreto.