웹 훅

Webhook

개발에서 후크는 커스텀콜백을 사용하여 웹 페이지 또는응용 프로그램의 동작을 확대 또는 변경하는 방법입니다.이러한 콜백은 서드파티 사용자 및 개발자가 유지보수, 변경 및 관리할 수 있습니다.이 사용자 및 개발자는 원래 웹 사이트 또는 응용 프로그램에 반드시 관련되어 있지 않을 수 있습니다."웹훅"이라는 용어는 컴퓨터 프로그래밍 용어[1]훅에서 2007년 제프 린제이에 의해 만들어졌다.

형식은 보통 JSON입니다.이 요구는 HTTP POST 요구로 실행됩니다.

기능.

웹 훅은 "사용자 정의 HTTP 콜백"[2]입니다.일반적으로 이러한 이벤트는 저장소에[3] 코드를 푸시하거나 블로그에 [4]코멘트가 게시되는 등의 이벤트에 의해 트리거됩니다.이 이벤트가 발생하면, 송신원사이트는, Web 훅용으로 설정된 URL 에 HTTP 요구를 작성합니다.사용자는 한 사이트의 이벤트가 다른 사이트의 동작을 호출하도록 설정할 수 있습니다.

일반적[5] 용도는 연속적인 통합 시스템으로 빌드를 트리거하거나 [6]버그 추적 시스템에 통지하는 것입니다.웹 훅은 HTTP를 사용하기 때문에 새로운 인프라스트럭처를 [7]추가하지 않고 웹 서비스에 통합할 수 있습니다.

웹 훅 알림 인증

클라이언트(원래의 Web 사이트 또는 애플리케이션)가 서드파티제 유저의 서버에 Web 훅 콜을 발신할 때는, 스푸핑 공격을 피하기 위해서 착신 POST 요구를 인증해, 그 타임스탬프를 검증해 재생 [8]공격을 회피할 필요가 있습니다.클라이언트 인증에는 다음과 같은 다양한 기술이 사용됩니다.

  • HTTP 기본 인증을 사용하여 클라이언트를 [9]인증할 수 있습니다.
  • 웹 훅에는 이벤트 유형에 대한 정보 및 웹 훅을 확인하기 위한 공유 비밀 시그니처 또는 디지털시그니처를 포함할 수 있습니다.
  • HMAC 시그니처는 HTTP 헤더로 포함할 수 있습니다.GitHub,[10] Stripe[11][12] Facebook은 이 기술을 사용합니다.
  • 상호 TLS 인증은 연결이 확립될 때 사용할 수 있습니다.그러면 엔드포인트(서버)가 클라이언트의 [13]인증서를 확인할 수 있습니다.

송신자는, 요구를 송신하는 IP 주소의 리스트를 일정하게 보관하도록 선택할 수 있습니다.이것만으로는 충분한 보안 대책은 아니지만, 수신측 엔드포인트가 방화벽 또는 NAT의 배후에 있는 경우에 도움이 됩니다.

「 」를 참조해 주세요.

레퍼런스

  1. ^ Web hook to revolutionize the web, 3 May 2007, archived from the original on 2018-06-30
  2. ^ "Webhooks". Atlassian. Retrieved 2019-09-24.]
  3. ^ 웹 훅에 대해서 - Github 도움말
  4. ^ WordPress 웹 훅
  5. ^ Jenkins GitHub Commit Hooks HOWTO, archived from the original on 2015-09-25
  6. ^ Google 프로젝트 호스팅 - 커밋 후 웹 후크
  7. ^ WebHook의 개요와 실시간 웹을 활성화하는 방법
  8. ^ "Why Verify". Svix. Svix Inc. Retrieved September 12, 2021. Another potential security hole is what's called replay attacks.
  9. ^ "DocuSign Connect Now Includes Basic Authentication Support". DocuSign. DocuSign, Inc. Retrieved January 15, 2020. the Connect notification service has been updated to support the Basic Authentication scheme with customers’ Connect servers (listeners).
  10. ^ "Securing your webhooks". Github. Github, Inc. Retrieved September 12, 2021.
  11. ^ "Checking Webhook Signatures". Stripe. Stripe, Inc. Retrieved 12 May 2019.
  12. ^ "Getting Started - Graph API - Documentation - Facebook for Developers". Facebook. Facebook, Inc. Retrieved 12 May 2019.
  13. ^ "Mutual TLS: Stuff you should know". DocuSign. DocuSign, Inc. Retrieved January 15, 2020. Mutual TLS plus Client Access Control enables your listener app to ensure that the Connect notification message was sent by DocuSign and that it wasn’t modified en route.

외부 링크