Обеспечение безопасности веб-перехватчиков
Чтобы гарантировать, что веб-перехватчик получен от ISC, производится проверка подлинности вызова вместе с другими параметрами URL-адреса. Для шифрования в процессе аутентификации система ISC использует алгоритм кода проверки подлинности сообщений с хэш-ключом (HMAC).
Параметр | Описание |
---|---|
метка времени | Количество секунд, начиная с 1 января 1970 года в формате UTC. |
токен | Случайным образом созданная строка из 64 буквенно-цифровых символов. |
подпись | Строка из шестнадцатеричных символов, созданная посредством алгоритма HMAC. |
Параметр | Описание |
---|---|
домен | Среда ISC, отправившая веб-перехватчик. Рабочая среда: https://www.reservecloud.com/login. Среда контроля качества: https://qa.reservecloud.com/login |
действие | Код действия, инициировавшего вызов веб-перехватчика. Пример: GUEST_ROOM_BLOCK_UPDATED |
имя | Имя веб-перехватчика из настроек. |
Чтобы убедиться, что вызов веб-перехватчика был получен от ISC, необходимо выполнить следующее:
- Объедините значения метки времени и токена.
- Закодируйте объединенную строку с помощью алгоритма HMAC. Ключ доступен в разделе «Интерфейс веб-перехватчиков» на странице «Настройки» в ISC. Алгоритм должен использовать хэш-функцию SHA256.
- Выполните кодирование результата в шестнадцатеричном формате, используя нижний регистр для буквенных символов.
- Сравните результат с параметром подписи. При необходимости можно проверить, не слишком ли далеко находится метка времени от текущего времени.