Github offers a way per consentire a un URL di sapere quando un progetto è stato aggiornato tramite webhooks.Come verificare che una richiesta di hook post-ricezione provenga effettivamente da github?
Come si verifica che un post inviato al gancio di post-ricezione del mio server provenga effettivamente da github?
Devo controllare l'indirizzo IP del mittente o posso inviare un controllo di autenticazione da qualche parte? Voglio assicurarmi che qualcuno non provi a spoofare una richiesta fingendo di provenire da github.
Un'opzione è impostare il gancio tramite PubSubHubbub e utilizzare l'opzione hub.secret
per creare una firma HMAC SHA1 del corpo del post. Tuttavia, ciò richiederebbe al mio server di configurare la richiesta piuttosto che aspettare che gli utenti configurino la richiamata post-ricezione sul mio sito quando lo desiderano. Preferirei semplicemente chiedere agli utenti di incollare l'URL che ho inserito nell'URL del post.
Così semplice che non consideravano addirittura. I dati non sono molto importanti, voglio solo interrompere semplici invii di spam. – Xeoncross
Secondo Github, gli indirizzi effettivi sono 207.97.227.253, 50.57.128.197, 108.171.174.178. – Joshua
Grazie per questa informazione Joshua – Roch