webhooks - Mailgun Webhook 访问

Question

我们目前正在实现 Mailgun 的 Webhook，以将电子邮件回复转换为应用程序中评论线程中的回复。我们设置一条路由来匹配收件人，并将操作设置为 store(notify="https://example.com/example-endpoint")。 Mailgun 将数据发送到给定端点，然后我们在其中处理消息并将其添加到应用程序评论线程中。

我的问题是这样的:

如何锁定端点，以便 Mailgun 成为可以在此处发帖的唯一实体？是否有可以列入白名单的 IP 列表？他们发送的特殊 key 是否可供我根据私有(private) API key 进行验证？

Answer 1

我在文档中找到了自己的答案。我应该更仔细地阅读文档。

https://documentation.mailgun.com/user_manual.html#webhooks 下的“保护 Webhooks”部分说:

To ensure the authenticity of event requests, Mailgun signs them and posts the signature along with other webhook parameters.

我必须使用 api key 作为 HMAC，将有效负载中的 signature 值与 timestamp 和 token 的 SHA256 HMAC 哈希进行比较关键。

例如:

$_POST['signature'] === hash_hmac('sha256', $_POST['timestamp'] . $_POST['token'], 'example-api-key);