Verificér en webhook (signatur)
Hver webhook-besked er signeret, så du kan bevise, at den kommer fra DanskAdresseAPI og ikke er forfalsket.
Når du opretter en webhook, får du en hemmelig nøgle (secret). Sådan verificerer din server en besked:
- Læs signaturen fra request-headeren.
- Beregn selv en HMAC-SHA256 af den rå request-body med din secret.
- Sammenlign din beregnede værdi med signaturen i headeren.
- Er de ens, er beskeden ægte. Ellers: afvis den.
Gem din secret sikkert (som en nøgle), og afvis altid beskeder, hvor signaturen ikke passer. Se kodeeksempler i dokumentationen.
Var dette nyttigt?
