[扩展推荐] 使用 Laravel Shield 来保护你的 Webhook 不受入侵
14

file

Laravel Shield 是由 Ashley Clarke 开发的包,通过中间件实现了对来自第三方未经验证webhook的过滤。 这个包现在可以在Github, GitLab Stripe, 和 Zapier 下载,并且Pull Request处于开放状态,还在不断更新。

安装后,你可以在路由中使用这个中间件。
例如:

Route::middleware('shield:github')->post('/hooks/github', 'HooksController@github');

任何运行 following checks的路由请求都要通过 Shield GitHub

<?php

namespace Clarkeash\Shield\Services;

use Illuminate\Http\Request;

class GitHub extends BaseService
{
    public function verify(Request $request): bool
    {
        $generated = 'sha1=' . hash_hmac('sha1', $request->getContent(), config('shield.services.github.token'));

        return hash_equals($generated, $this->header($request, 'X-Hub-Signature'));
    }

    public function headers(): array
    {
        return ['X-Hub-Signature'];
    }
}

查询 official repo获取更多Laravel Shield信息开始更容易的保护你的webhooks。

更新于 10/23/2017:

这个包已经被移到 Laravel Shield 下; 核心包与服务集成 现在已经被拆分为2个独立的仓库. 你可以在 laravel-shield.com找到更多资料.


Practice makes perfect.

原文地址:https://laravel-news.com/laravel-shield

译文地址:https://laravel-china.org/topics/7983/ex...

本帖已被设为精华帖!
《L01 基础入门》
我们将带你从零开发一个项目并部署到线上,本课程教授 Web 开发中专业、实用的技能,如 Git 工作流、Laravel Mix 前端工作流等。
《L03 构架 API 服务器》
你将学到如 RESTFul 设计风格、PostMan 的使用、OAuth 流程,JWT 概念及使用 和 API 开发相关的进阶知识。
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!

  • 请注意单词拼写,以及中英文排版,参考此页
  • 支持 Markdown 格式, **粗体**、~~删除线~~、`单行代码`, 更多语法请见这里 Markdown 语法
  • 支持表情,使用方法请见 Emoji 自动补全来咯,可用的 Emoji 请见 :metal: :point_right: Emoji 列表 :star: :sparkles:
  • 上传图片, 支持拖拽和剪切板黏贴上传, 格式限制 - jpg, png, gif
  • 发布框支持本地存储功能,会在内容变更时保存,「提交」按钮点击时清空
  请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!