npm 包 secure-github-webhook 使用教程

在现代软件开发过程中,GitHub Webhook 是一个非常重要的组件。它可以让你在代码提交、合并等操作发生时自动触发一些行为,例如运行测试、部署服务等等。然而,安全性始终是我们需要考虑的问题。如果没有正确地保护我们的 Webhook,那么黑客可能会利用这一漏洞来攻击我们的系统。在本文中,我们介绍一个名为 secure-github-webhook 的 npm 包,以及如何使用它来保护您的 GitHub Webhook。

npm 包 secure-github-webhook 简介

secure-github-webhook 是一个开源的 npm 包,它提供了一种简单且可靠的方法来保护您的 GitHub Webhook。它使用 SHA1 算法对传入的 Webhook payload 进行计算,然后将计算结果与 GitHub 提供的签名进行比对。如果签名匹配,那么 Webhook 就是来自于 GitHub 的,否则请求将被拒绝。这种方法称为“签名校验”。

安装 secure-github-webhook

要在您的项目中使用 secure-github-webhook,您需要首先安装它。您可以使用以下命令来安装:

--- ------- ---------------------

使用 secure-github-webhook

当您已经安装了 secure-github-webhook 后,就可以开始使用它来保护您的 GitHub Webhook 了。以下是一个简单的示例:

----- ------- - -------------------
----- ---------- - -----------------------
----- ------------------- - ---------------------------------

----- --- - ----------
----- ---- - -----

---------------------------

-------------------- ----------------------------------- ----- ---- -- -
  -- ----- ------ ------- -----
---

---------------- -- -- -
  ------------------- --------- -- ---- -----------
---

在这个例子中,我们创建了一个 express 应用程序,并将 secure-github-webhook 导入了它。我们定义了一个针对 GitHub Webhook 的 POST 路由,路径为 “/webhook”。我们通过将“secret_key”作为参数传递给 verifyGithubWebhook() 函数来启用签名校验。如果校验失败,请求将不会被处理。否则,我们在回调函数中处理请求。

secure-github-webhook 的高级用法

secure-github-webhook 提供了一些高级用法,可以满足一些特定的需求。以下是其中的一些示例。

获取签名

如果您想要手动获取 GitHub Webhook 的签名,您可以使用以下代码:

----- - ------------ - - ---------------------------------

----- --------- - --------------------- --------

其中,payload 是进行签名计算的数据,secret 是 GitHub Webhook 的 secret key。

延迟校验

如果您希望在完全处理 Webhook 请求之前进行更多的校验(例如验证 sender 或 repository),您可以使用 delayVerify 选项。以下是示例代码:

----- ------- - -
  ------------ -----
  ------- ------------
--

----- - --------------- - - ------------------------------------------

-------------------- ----- ---- -- -
  ----- -------- - --------------------------

  -- ---------- -
    -- ------
  -
---

在这里,我们将 delayVerify 选项设置为 true,这意味着我们可以在处理 GitHub Webhook 之前先获取签名并执行其他校验。只有在验证通过后,我们才会继续处理 Webhook 请求。

仅校验指定事件

如果您只想验证某些事件,而不是所有事件,您可以使用 verifyEvent 选项,例如:

----- ------- - -
  ------------ -------- ----------------
  ------- ------------
--

----- - --------------- - - ------------------------------------------

在这个例子中,我们只验证 push 和 pull_request 事件。其他事件将被忽略。

结论

secure-github-webhook 让我们可以非常容易地保护我们的 GitHub Webhook,从而防止黑客攻击。它提供了简单的接口和许多配置选项。希望本文提供的教程和示例代码能够帮助您在自己的项目中使用 secure-github-webhook。

来源:JavaScript中文网 ,转载请联系管理员! 本文地址:https://www.javascriptcn.com/post/6005662f81e8991b448e2109

阅读全文

猜你喜欢

  • npm 包 @sat/popover 使用教程

    前言 在前端开发中,弹出框或者下拉菜单是非常常见的需求。而自己写这些组件需要花费不少时间,此时,npm 包 @sat/popover 就可以发挥作用了。@sat/popover 是一个简单易用的 po...

    3 年前
  • npm 包 npm-check-steamer 使用教程

    npm 是 JavaScript 世界的包管理器,具有包括项目依赖管理、项目发布、依赖版本管理等众多优秀特性。在编写 JavaScript 前端代码时,npm 包的使用也是必不可少的。

    3 年前
  • npm 包 ma-kentico-cloud-delivery-js-sdk 使用教程

    概述:ma-kentico-cloud-delivery-js-sdk 是一个使用 JavaScript 实现的 Kentico Cloud Delivery API 的客户端库。

    3 年前
  • npm 包 generator-ts-jest 使用教程

    什么是 generator-ts-jest generator-ts-jest 是一个 npm 包,它提供了一套快速生成 TypeScript + Jest 的项目脚手架的方法。

    3 年前
  • npm 包 neat-query 使用教程

    什么是 neat-query neat-query 是一个轻量级的 JavaScript 库,用于在针对 Web 应用程序进行前端开发时,更方便地处理 DOM 元素。

    3 年前
  • npm 包 sand-box 使用教程

    在前端开发中,我们常常需要使用第三方的 JavaScript 库,这些库通常以 npm 包的形式提供。但是,使用这些包时,往往需要按照库中的使用文档,编写组件或页面,这样就会增加很多不必要的工作量。

    3 年前
  • npm 包 unique-lexicographic-integer 使用教程

    什么是 unique-lexicographic-integer? unique-lexicographic-integer 是一款 npm 包,它能用来生成唯一的、按字典序排列的整数序列。

    3 年前
  • npm 包 videojs-marquee-overlay 使用教程

    在前端开发中,视频组件的使用经常比较复杂且需要用到多种技术。其中,videojs 是一个开源的 HTML5 播放器框架,提供了丰富的扩展机制,可以通过插件来增加自定义功能。

    3 年前
  • npm 包 `generator-ynu-api` 使用教程

    引言 在开发前端项目时,我们经常需要与后端服务器进行交互。这时我们需要接口来传递数据。接口的开发一般由后端工程师来完成,前端工程师则需要将后端开发好的接口进行调用,这就需要前端工程师对接口进行封装。

    3 年前
  • npm包dom-insert-adjacent 使用教程

    在前端开发过程中,操作 DOM 是一项常见的任务。在页面中插入元素是其中的一部分,而 npm 包 dom-insert-adjacent 就是专门用来处理这类任务的工具。

    3 年前
  • npm 包 ngz-charts 使用教程

    简介 ngz-charts 基于 Angular 框架和 D3.js 库,用于生成交互式的图表。它支持多种类型的图表,如折线图、柱状图、饼状图、雷达图等。它的 API 非常简单易懂,易于集成到 Ang...

    3 年前
  • npm 包 lab01-generator-node 使用教程

    介绍 lab01-generator-node 是一个快速生成 Node.js 项目的脚手架工具,可以帮助开发者快速搭建一个基于 Node.js 的项目框架,并内置了常见的依赖和配置文件。

    3 年前
  • npm 包 @micabe/components 使用教程

    前言 在前端开发过程中,组件化开发是越来越重要的一个方向。通过使用 npm 包来管理和使用组件,可以有效地提高开发效率和代码复用性。@micabe/components 是一个高质量的组件库,提供了丰...

    3 年前
  • npm 包 node-red-contrib-ignoble 使用教程

    导语 在前端开发中,我们经常需要使用各种 npm 包来完成自己的工作。其中,node-red-contrib-ignoble 是一款非常实用的工具,它可以让我们在 Node-RED 中更方便地使用 I...

    3 年前
  • npm 包 enrich-js 使用教程

    简介 enrich-js 是一款用于前端项目的工具库,该工具库可以帮助前端开发者快速方便地进行数据处理、字符串处理、时间处理、类型判断等常用操作。 安装 使用 npm 进行安装: --- ------...

    3 年前
  • npm 包 @thomsbg/ot-fuzzer 使用教程

    简介 npm 是一个 JavaScript 的包管理工具,提供了一个丰富的 JavaScript 资源库,可以快速、方便地下载和安装各种 JavaScript 模块。

    3 年前
  • npm 包 fussballde-matchplan-url-builder 的使用教程

    简介 fussballde-matchplan-url-builder 是一个针对德国足球联赛的 npm 包,该包可以帮助我们生成德国足球联赛的赛程表链接。使用该包可以减小我们在开发德国足球联赛相关应...

    3 年前
  • npm 包 react-gif-picker 使用教程

    简介 react-gif-picker 是一个可以在 React 应用中方便使用的小工具,它可以帮助用户从 Giphy 上选择合适的 gif 图片。 react-gif-picker 是由 NPM 提...

    3 年前
  • npm 包 sk-query-builder 使用教程

    介绍 sk-query-builder 是一个用于构建查询字符串的 npm 包。它支持复杂的嵌套查询结构,并且提供了很多方便的方法来创建查询参数,包括 AND、OR、NOT 等逻辑运算符和大多数比较运...

    3 年前
  • npm 包 Soother 使用教程

    Web 开发人员经常需要优化他们的代码,以确保网站的性能和用户体验。为了实现这一目的,前端工程师通常会使用一些工具和库,例如压缩代码,减少资源文件大小等。在这篇文章中,我们将介绍一个名为 Soothe...

    3 年前

相关推荐

    暂无文章