我的
ruby-on-rails应用程序使用条带进行卡支付. Stripe提供了一些webhooks,通过它可以联系我的应用程序,并提供有关每个事务的详细信息 – 成功或失败.
为此,我在我的控制器中有这样的事情:
class StripeController < ApplicationController
def webhook
data_json = JSON.parse request.body.read
p data_json['data']['object']['customer']
end
我的问题是如何验证此webhook的真实性?根据我的知识和理解,人们很容易模仿这种(中间人攻击).
解决方法
来自Stripe的
webhooks documentation:
If security is a concern,or if it’s important to confirm that Stripe sent the webhook,you should only use the ID sent in your webhook and should request the remaining details from the Stripe API directly.
