我正在为我正在工作的项目设置Slack警报。
要使用Slack的Incoming web hook,您只需向Slack URL发出POST请求即可。我没有看到上面有任何安全性。这怎么安全呢?如果有人获得此URL,那么他不会能够发布消息吗?因为即使在https连接中,该URL也是公开的。
1个回答
6
您给出的文档中提到:
也就是说,您应该像对待应用程序中任何机密(如数据库密码等)一样,将 Webhook URL 保密。保守秘密,保证安全。 您的 Webhook URL 包含一个密钥,请勿在线共享,包括公共版本控制存储库。Slack 会积极搜索并撤销泄露的密钥。
- AKX
2
2好的,很有道理。不过问题在于秘密(URL)是否会通过公共互联网路由。这就像您的密码是URL路径参数的一部分一样。您对此有什么想法? - Neeraj
6将秘密信息放在路径或查询参数中的主要问题在于它们往往会留在访问日志中。除此之外,我的想法是“HTTPS”。在公共互联网上,没有路由器或代理能够在未经允许的情况下解密TLS会话。 - AKX
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接