如何在没有端点密钥的情况下验证条带webhook签名?
在没有端点密钥的情况下验证条带 Webhook 签名可以采用以下步骤:
- 获取条带 Webhook 请求的头部和正文数据。
- 使用条带的公共密钥对正文数据进行验证,确保数据未被篡改。
- 从头部数据中提取签名信息和算法。
- 使用算法和已知的密钥(不是端点密钥)生成一个临时的签名。
- 将生成的临时签名与从头部提取的签名进行比较,确保一致性。
- 如果临时签名与提取的签名一致,证明该 Webhook 请求的签名验证通过。
请注意,端点密钥是条带提供给特定端点的唯一密钥,用于验证 Webhook 请求的签名。如果没有端点密钥,则无法直接进行签名验证。但是,通过使用条带的公共密钥和已知的密钥,可以进行一定程度的签名验证。
以下是一些推荐的腾讯云相关产品和产品介绍链接地址,可用于支持云计算领域的开发工作:
- 腾讯云云服务器(Elastic Compute Cloud, ECC):提供可扩展的计算资源,支持快速创建、部署和管理应用程序。产品介绍链接:https://cloud.tencent.com/product/cvm
- 腾讯云对象存储(Cloud Object Storage, COS):提供安全可靠的对象存储服务,适用于各种场景下的数据存储和分发。产品介绍链接:https://cloud.tencent.com/product/cos
- 腾讯云容器服务(Tencent Kubernetes Engine, TKE):为容器化应用提供高度可扩展和灵活的容器管理平台,简化容器集群的部署和运维。产品介绍链接:https://cloud.tencent.com/product/tke
以上是关于如何在没有端点密钥的情况下验证条带 Webhook 签名的步骤和相关腾讯云产品的介绍。希望对您有所帮助!
相关·内容
我正在构建一个“多平台”解决方案,其中每个用户都可以拥有自己的“商店”,并直接在他们的stripe账户上获得基金。因此,每个用户在创建自己的商店时都会提供公共和秘密的条带密钥,这些密钥存储在服务器上,并在进行某些付款时使用。当我不得不使用webhook时,问题就来了,我必须验证用户的webhook端点秘密,我不能要求用户提供并存储WH端点密钥..
浏览 21提问于2020-07-07得票数 1
回答已采纳
我在这里看到过类似的问题,但它们似乎不能解决我的问题。这是我删除了密钥的index.ts。bodyParser = require('body-parser')
app.use(cors({origin: true}));
app.post('/webh
浏览 1提问于2020-01-08得票数 0
1回答
我的heroku应用程序是用php编写的,我运行了这里的验证函数:https://shopify.dev/tutorials/manage-webhooks,当我打开我的应用程序时,我得到了一个空白的响应这里的目标是在我选择的事件运行后获取json数据,然后通过第三方api发送该数据。但首先,我只想验证我的heroku应用程序是否正在接收有效负载。我是否需要添加更多内容到我<e
浏览 53提问于2020-08-21得票数 0
回答已采纳
3回答
所以我试着做一个简单的条纹Webhook。理想情况下,这应该不会太难。下面是我的代码:注册页面在这里: Webhook在这里:
我的交易正在进行,因为我在仪表板中看到了它们。我已经将仪表板上的webhook设置为正确的链接。因此,当我尝试测试webhook功能时,我总是得到一个失败,因为evt_000000000没有得到响应。除了使用仪表板之外,我不知道还
浏览 1提问于2015-07-18得票数 7
2回答
我正在创建一个新的Slack应用程序,它基本上接受斜杠命令。它已经在工作了,但我想使用API密钥来保护我的API。已经配置了API key +使用计划,但不确定如何在闲置端使用。让一个开放的API仅仅依赖于松弛的验证令牌似乎是非常危险的,这取决于您的命令... 有没有办法做到这一点,或者这就是前进的道路?仅使用令牌和团队ID进行验证。
浏览 23提问于2019-06-19得票数 4
1回答
我正在接收来自node js服务器的webhook。每当节点命中laravel webhook端点时,它都会返回错误‘签名无效。
如何从laravel spatie中禁用默认签名或编写自己的签名?或者更好:如何从节点服务器发送将被接受的签名
浏览 1提问于2020-10-25得票数 2
我正在使用Ruby2.1.5在Rails 4.0.6应用程序中使用条带创业板和stripe_event创业板。在我尝试“保护webhook端点”或“身份验证webhooks”部分( stripe_event gem readme () )之前,它一直运行得很好。当我尝试用下面的代码验证我的web钩子(在尝试此代码之前工作得很好)时,我会得到一个未初始化的常量错误。#event
uninitialized constant Stripe::SignatureVerific
浏览 2提问于2017-10-21得票数 1
回答已采纳
2回答
我也见过类似的问题,但没有一个问题符合我的观点。var stripe = require('stripe')(&#
浏览 1提问于2017-12-14得票数 1
回答已采纳
我正在用一个Wordpress插件构建我的第一个条纹集成,但不能让条纹尝试联系我的webhook。然后,我将webhook验证码粘贴到webhook.php文件中,并进行了另一次测试付款。它工作得很好,但没有尝试访问webhook。示例应用程序不包含webhook,并且包含实现说明的页面没有指向任何示例应用程序的链接,因此我不知道是否需要向我的create-che
浏览 17提问于2021-04-22得票数 1
我想更好地理解uaa客户端令牌验证如何与云铸造厂一起工作。登录到云铸造厂cf工具后,我从以下方面获得了一个签名令牌据我所知,此令牌已由cf客户端签名,并包含在我登录后从uaa接收到的原始访问令牌。现在,我可以使用任何在线jwt解析器来解码这个令牌(令牌不是敏感信息,因为cf工具只针对我的本地bosh-lite安装)。然而,如何验证令牌是否正确?这通常是云控制器随后会执行的任务,对吗?我尝试使用JJWT java库,如下所
浏览 3提问于2016-01-27得票数 1
回答已采纳
1回答
我现在正在从Express迁移到Zeit上的无服务器功能。 当使用webhook docs时,我可以通过bodyParser获得它,但是它如何在无服务器函数上工作呢?如何接收字符串格式的body以验证条带签名?支持团队将我重定向到这个documentation link,我很困惑,据我所知,我必须将text/plain传递到请求标头中,但我无法控制它,因为条纹是发送webhook的那个人。event = stripe.web
浏览 12提问于2020-01-02得票数 8
回答已采纳
1回答
目前,我正在从事一个具有保护路由(受JWT授权保护)的React项目。
根据用户的权限,某些页面呈现的方式不同。这些权限是在令牌负载中加密的。由于JWT令牌可以被解密和修改,所以理论上用户可以修改令牌,以便访问他们真正不应该访问的页面。由于令牌失去了有效性,后端服务器将不会处理特定用户的任何请求,因此不会造成任何损坏。我仍然不希望用户仅仅通过修改JWT令牌就能够访问受保护的页面。我对这个问题的解决方案是向一个端点发送一个请求,该<em
浏览 5提问于2020-06-01得票数 0
我已经配置了一个webhook,当事件在应用程序中发生时,url被调用,但我在调用中没有获得任何数据。
为了增加安全性,发送到OAuth授权应用程序的webhooks被签名,因此它们可以被验证为源自供应商,并且在运输过程中未被更改。基于散列的消息认证码用于签名。如果webhook请求包含如下标题,则应用程序可以验证该请求。X-Signature: signature=897hRT893qk
浏览 3提问于2020-12-31得票数 0
在使用Security充当授权服务器的Spring应用程序中,我配置了JWT和一个密钥对来对令牌进行签名。
是否存在允许我们获得公共证书的现有端点?
浏览 2提问于2018-12-01得票数 1
回答已采纳
使用Spatie laravel-webhook-client All正在使用Postman在开发服务器(Windows)上进行端点测试。获取请求、验证签名并将有效负载发送到排队的作业。所有工作与预期的全部有效负载从来源发送。 生产服务器接收webhook,验证签名,并将条目保存到webhook_calls表中。但是表中的有效负载条目是一个空对象"[]“,并且排队的作业中
浏览 22提问于2021-02-06得票数 0
我在我的Rails控制器中实现了一个webhook回调,并尝试遵循gem附带的rspec测试中使用的方法,以验证从Nexmo传递的签名(请参阅“check_signature方法”测试):
在我的NexmoAPI设置中,我添加了一个签名密钥(使用Ruby Digest::MD5生成)到我的帐户。我用ngrok配置了我的webproxy,在我的Nexmo测试号上,
浏览 17提问于2017-07-29得票数 0
回答已采纳
1回答
我有一个webshop (Laravel API/Vue),它用的就是条纹。我有3个环境为这个应用程序,本地,开发/升级和生产。本地和开发/暂存使用相同的条带可发布和秘密测试密钥,但使用不同的webhook秘密测试密钥。我的本地环境使用Laravel Homestead,我使用安装在pc (windows)上的ngrok将我的本地环境转发到活动服务器。这会导致订单被处理并保存在开发数据库
浏览 7提问于2021-02-08得票数 0
我们需要对发往客户系统的出站请求进行身份验证,以证明呼叫来自我们的系统。这是针对WebHooks通知系统的。对任何其他想法/建议都持开放态度。
谢谢,方舟
浏览 1提问于2021-03-17得票数 0
2回答
例如,在Windows操作系统上出现某些exe的情况下,如果数字签名验证失败,则二进制文件由于自动数字签名验证而无法执行。但是,某些..exe不自动验证签名,用户可以手动验证数字签名。此外,在分离签名(如目录文件或CMS签名)的情况下,用户可以使用可用的命令(如Get-Authenticode
浏览 0提问于2021-05-20得票数 2
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
