Webhook 検証用署名
Webhook の payload の完全性を検証するため、世の中では広く Webhook の署名の検証、という手段が提供されている。
HMAC を用いて検証できるものが多い
HMAC では共通鍵で検証する
構造は単純
code:py
hmac.new(b'secret', b'webhook_payload', digestmod=hashlib.sha256).hexdigest()
=> '868bd4beb022582e81401b142a011d42350ecc0817ee2d71978fc8c6eafeb053'
受信者と送信者でそれぞれ hmac.new(b'secret', b'webhook_payload', digestmod=hashlib.sha256) して比較するだけ
比較時は https://docs.python.org/ja/3/library/hmac.html#hmac.compare_digest などを使うべき