Webhook ellenőrzés
Webhook hívások esetén lehetséges ellenőrizni, igazolást kérni arról, hogy az adott kérés valóban az Unas forrásból érkezik, ezzel kivédhetők a MITM (Man In The Middle) típusú támadások. Ehhez egy hash alapú ellenőrzést biztosítunk, alább látható egy PHP mintakód, mellyel elvégezhető az ellenőrzés.
<?php
define('HMAC_SECRET', 'hmac_secret');
function verify_webhook($json, $hmac_header) {
$hmac = base64_encode(hash_hmac('sha256', $json, HMAC_SECRET, true));
return hash_equals($hmac_header, $hmac);
}
$hmac_header = $_SERVER['HTTP_X_UNAS_HMAC'];
$json = file_get_contents('php://input');
if (verify_webhook($json, $hmac_header)){
//Webhook verified
}
