Closed4
discord botのinterationsのセキュリティ
Àżu
セキュリティとして署名の検証が必要になる
Àżuドキュメント抜粋&Google翻訳
The internet is a scary place, especially for people hosting open, unauthenticated endpoints. If you are receiving Interactions via outgoing webhook, there are some security steps you must take before your app is eligible to receive requests.
インターネットは、特にオープンで認証されていないエンドポイントをホストしている人々にとっては恐ろしい場所です。送信 Webhook 経由でインタラクションを受信している場合、アプリがリクエストを受信できるようになる前に、いくつかのセキュリティ手順を実行する必要があります。
ÀżuJavaScriptサンプルコード
const nacl = require('tweetnacl');
// Your public key can be found on your application in the Developer Portal
const PUBLIC_KEY = 'APPLICATION_PUBLIC_KEY';
const signature = req.get('X-Signature-Ed25519');
const timestamp = req.get('X-Signature-Timestamp');
const body = req.rawBody; // rawBody is expected to be a string, not raw bytes
const isVerified = nacl.sign.detached.verify(
Buffer.from(timestamp + body),
Buffer.from(signature, 'hex'),
Buffer.from(PUBLIC_KEY, 'hex')
);
if (!isVerified) {
return res.status(401).end('invalid request signature');
}
Pythonサンプルコード
from nacl.signing import VerifyKey
from nacl.exceptions import BadSignatureError
# Your public key can be found on your application in the Developer Portal
PUBLIC_KEY = 'APPLICATION_PUBLIC_KEY'
verify_key = VerifyKey(bytes.fromhex(PUBLIC_KEY))
signature = request.headers["X-Signature-Ed25519"]
timestamp = request.headers["X-Signature-Timestamp"]
body = request.data.decode("utf-8")
try:
verify_key.verify(f'{timestamp}{body}'.encode(), bytes.fromhex(signature))
except BadSignatureError:
abort(401, 'invalid request signature')
とりあえずjsとpythonにはらいぶらりがあるらしい
phpもあった
このスクラップは2024/04/18にクローズされました