Overslaan en naar hoofdcontent gaan

Signing en verificatie van Leafy Energy webhooks

Emma

Verifieren dat een webhook echt van Leafy Energy komt

Om spoofing te voorkomen, signeert Leafy Energy in de demo elk webhook-request met een HMAC-handtekening. Jij valideert die handtekening voordat je de payload verwerkt.

Headers

X-Leafy-Signature: t=1710000000,v1=abcdef1234567890
  • t is een Unix-timestamp.
  • v1 is de HMAC van timestamp + "." + raw_body met het gedeelde secret.

Verificatiestappen

  1. Lees de X-Leafy-Signature-header uit.
  2. Controleer of de timestamp binnen een acceptabele tijdswindow valt (bijvoorbeeld 5 minuten).
  3. Bereken zelf de HMAC met jouw secret en vergelijk met de ontvangen hash.

In demo-codevoorbeelden kun je dit uitwerken in Node.js, Python of een andere taal om het mechanisme helder te maken.

Opmerkingen

0 opmerkingen

U moet u aanmelden om een opmerking te plaatsen.

Mogelijk gemaakt door Zendesk