Обеспечение безопасности веб-перехватчиков

Чтобы гарантировать, что веб-перехватчик получен от ISC, производится проверка подлинности вызова вместе с другими параметрами URL-адреса. Для шифрования в процессе аутентификации система ISC использует алгоритм кода проверки подлинности сообщений с хэш-ключом (HMAC).
Табл. 1. Параметры безопасности
Параметр Описание
метка времени Количество секунд, начиная с 1 января 1970 года в формате UTC.
токен Случайным образом созданная строка из 64 буквенно-цифровых символов.
подпись Строка из шестнадцатеричных символов, созданная посредством алгоритма HMAC.
Табл. 2. Общие параметры
Параметр Описание
домен Среда ISC, отправившая веб-перехватчик. Рабочая среда: https://www.reservecloud.com/login. Среда контроля качества: https://qa.reservecloud.com/login
действие Код действия, инициировавшего вызов веб-перехватчика. Пример: GUEST_ROOM_BLOCK_UPDATED
имя Имя веб-перехватчика из настроек.

Чтобы убедиться, что вызов веб-перехватчика был получен от ISC, необходимо выполнить следующее:

  • Объедините значения метки времени и токена.
  • Закодируйте объединенную строку с помощью алгоритма HMAC. Ключ доступен в разделе «Интерфейс веб-перехватчиков» на странице «Настройки» в ISC. Алгоритм должен использовать хэш-функцию SHA256.
  • Выполните кодирование результата в шестнадцатеричном формате, используя нижний регистр для буквенных символов.
  • Сравните результат с параметром подписи. При необходимости можно проверить, не слишком ли далеко находится метка времени от текущего времени.