我正在使用DocuSign REST API发送文档,我们正在尝试利用webhook功能。
我们的问题是我们在Webhook侦听器上设置了基本身份验证,REST API不支持该基本身份验证。我问这是否是一个准确的理解。我知道可以在Connect产品上使用它,可以通过门户设置基本身份验证,但是我正在专门寻找API REST调用。
如何保护EventNotification事件?
非常感谢, 米奇。
答案 0 :(得分:0)
根据docusign offical post,到目前为止:
使用eventNotifications API选项创建的单个Envelope Connect配置目前不支持基本身份验证。
一种替代解决方案:
Docusign的官方博客文章回答了这个问题。 Securing Your Connect Webhook Listener
对于我们来说,我们使用使用预共享机密方法来保护我们的网络挂钩。我们正在使用python sdk。在创建EventNotification的过程中,我们向webhook侦听器URL添加了一个秘密参数。当docusign将请求发布到您的侦听器服务器时,它将包括秘密。您可以检查参数以确保请求有效。
event_notification = EventNotification()
event_notification.url ='your webhook_url' + '?secret=' + 'your_secret')
以下文字摘自博客文章。
此防御既充当访问控制又充当身份验证。的 您提供给DocuSign的侦听器URL可以包含一个或多个查询 参数。 DocuSign将在对您的POST请求中包括它们 听众。
对于访问控制,您的监听器将首先检查该请求 包含预期的查询参数,并拒绝所有要求 别。为了进行身份验证,您的听众还将检查 查询参数的值。请记住,您可以编码任何值 查询参数的名称和值。在这个例子中,我们 使用“ pw”作为查询参数的名称。
要使用预共享的机密,只需在 连接配置。例如, https://listener_url.example.com/listener?pw=secret
请记住,完整的URL(包括其查询参数)是 加密,然后再通过互联网发送。网址及其查询 参数在各种日志和配置屏幕中可见, 包括“连接webhook”配置页面。