Webhook Signature Verifier
Налаштування
Що таке Webhook Signature Verifier?
Webhook Signature Verifier допомагає перевірити, чи був webhook payload підписаний правильним secret.
Це корисно під час дебагу Stripe, GitHub, Slack або власних webhook-інтеграцій, які використовують HMAC-підпис.
Як користуватися Webhook Signature Verifier
- Встав webhook payload.
- Встав secret, який використовує провайдер.
- Встав переданий підпис або повне значення signature header.
- Обери алгоритм і кодування, потім натисни «Перевірити підпис».
Поради
- Payload має точно збігатися з raw body, який надіслав провайдер.
- Деякі провайдери додають префікси на кшталт sha256= або v1=.
- Якщо перевірка не проходить, перевір пробіли, переноси рядків і кодування.
- Використовуй саме той алгоритм, який очікує твій провайдер.
Пов’язані гайди
Дізнайся workflow за цим інструментом і що перевіряти далі.
Як inspect JWT auth issues
JWT troubleshooting flow для claims, time values, permissions і signing assumptions без сприйняття decoding як verification.
Як validate domain перед launch
Launch workflow для перевірки DNS records, domain ownership signals, SSL coverage і security headers на public endpoint.
Перевірки підпису webhook перед довірою до події
Перевіряйте автентичність до обробки події як довіреної та застосовуйте правила провайдера до незміненого тіла запиту.
Збережіть raw body
Отримайте точні байти запиту до того, як JSON-парсер, форматування, перетворення переносів або middleware змінять підписані дані.
Розберіть заголовок підпису
Враховуйте правила провайдера щодо версії, timestamp, ID ключа, кодування і кількох підписів замість порівняння всього заголовка як одного дайджесту.
Обмежте повторне відтворення
Перевіряйте підписаний timestamp у короткому часовому вікні та зберігайте ID подій, якщо провайдер підтримує виявлення дублікатів.
Безпечна відповідь
Не обробляйте подію з невалідним підписом, не логуйте секрети чи чутливе тіло повністю та зробіть валідні обробники ідемпотентними.
Приватність і використання
Швидкі перевірки без акаунта
Toolinix створений для коротких developer tasks: вставити безпечний приклад, перевірити результат, скопіювати потрібне й рухатися далі.
Без логіну
Інструменти можна використовувати без акаунта, підписки на розсилку або збереження робочого простору.
Локально, коли можливо
Форматери, генератори, енкодери та текстові утиліти зазвичай працюють у браузері. Network diagnostics можуть потребувати server-assisted lookup для перевірки публічних URL, доменів або IP.
Не вставляй секрети
Не вставляй production passwords, private keys, access tokens, дані клієнтів або regulated data в онлайн-інструменти, якщо це не дозволено твоєю security policy.
Пов’язані інструменти
Можливо, тобі також стануть у пригоді ці інструменти.