推送数据验证


概览


基于推送接口安全原因,你可能需要对接收的推送数据进行数据验证,防止 SUBHOOK 数据被伪造或恶意注入。



密匙


当开发者创建一个 SUBHOOK 事件后,SUBMAIL 将会自动创建一个 SUBHOOK 密匙(KEY)。开发者在接收 SUBHOOK 推送时,使用此密匙对数据进行验证。


数据验证


SUBHOOK 推送一条事件通知时,将会在 POST 数组中加入 tokensignature 参数。
token 参数是一个 32 位的随机字符串,signature 参数是 SUBHOOK 创建的唯一数字签名。
在接收 SUBHOOK 时,请将获得的 token 值和你的 SUBHOOK 密匙拼接成字符串(即 token+key),随后使用 MD5 创建此签名,并与 signature 参数进行比对。