ペイロードを受信するようにサーバーが設定されると、設定したエンドポイントに送信されたペイロードがリッスンされます。 セキュリティ上の理由から、GitHub からのリクエストに制限することをお勧めします。 これを行うにはいくつかの方法があります。たとえば、GitHub の IP アドレスからのリクエストを許可することですが、はるかに簡単な方法は、シークレットトークンを設定して情報を検証することです。
You can use the repository, organization, and app webhook REST APIs to create, update, delete, and ping webhooks. For more information, see:
シークレットトークンを設定する
シークレットトークンは、GitHub とサーバーの 2 か所に設定する必要があります。
GitHub にトークンを設定するには:
- webhook を設定しているリポジトリに移動します。
- シークレットテキストボックスに入力します。 エントロピーの高いランダムな文字列を使用します (たとえば、
ruby -rsecurerandom -e 'puts SecureRandom.hex(20)'
を端末で取得することによって)。 - [Update Webhook] をクリックします。
次に、このトークンを保存する環境変数をサーバーに設定します。 通常、これは実行と同じくらい簡単です。
$ export SECRET_TOKEN=your_token
トークンをアプリケーションにハードコーディングしないでください。
GitHub からのペイロードを検証する
シークレットトークンが設定されると、GitHub Enterprise Server はそれを使用して各ペイロードでハッシュ署名を作成します。 このハッシュ署名は、X-Hub-Signature
として各リクエストのヘッダに含まれています。
たとえば、webhook をリッスンする基本的なサーバーがある場合、次のように設定されている可能性があります。
require 'sinatra'
require 'json'
post '/payload' do
push = JSON.parse(params[:payload])
"I got some JSON: #{push.inspect}"
end
目的は、SECRET_TOKEN
を使用してハッシュを計算し、結果が GitHub Enterprise Server のハッシュと一致することを確認することです。 GitHub Enterprise Server は HMAC hex digest を使用してハッシュを計算するため、サーバーを次のように再設定できます。
post '/payload' do
request.body.rewind
payload_body = request.body.read
verify_signature(payload_body)
push = JSON.parse(params[:payload])
"I got some JSON: #{push.inspect}"
end
def verify_signature(payload_body)
signature = 'sha1=' + OpenSSL::HMAC.hexdigest(OpenSSL::Digest.new('sha1'), ENV['SECRET_TOKEN'], payload_body)
return halt 500, "Signatures didn't match!" unless Rack::Utils.secure_compare(signature, request.env['HTTP_X_HUB_SIGNATURE'])
end
言語とサーバーの実装は、この例で使用したコードとは異なる場合があります。 ただし、次のようないくつかの非常に重要な事項があります。
-
どの実装を使用する場合でも、ハッシュ署名は
sha256=
で始まり、シークレットトークンのキーとペイロード本体を使用します。 -
プレーンな
==
演算子を使用することはお勧めしません。secure_compare
のようなメソッドは、「一定時間」の文字列比較を実行します。これは、通常の等式演算子に対する特定のタイミング攻撃を軽減するのに役立ちます。