मुख्य कंटेंट पर जाएं
Didit ने पहचान और धोखाधड़ी के लिए इंफ्रास्ट्रक्चर बनाने हेतु $7.5M जुटाए
Didit
ब्लॉग पर वापस जाएँ
ब्लॉग · 14 मार्च 2026

HMAC सिग्नेचर वैलिडेशन के साथ वेबहुक सुरक्षा बढ़ाएँ (HI)

अपने एप्लिकेशन में मजबूत वेबहुक सुरक्षा के लिए HMAC सिग्नेचर वैलिडेशन को लागू करना सीखें। यह मार्गदर्शिका संवेदनशील पहचान डेटा की सुरक्षा के लिए एक डेवलपर-केंद्रित चेकलिस्ट, कोड पैटर्न और सर्वोत्तम अभ्यास प्रदान करती है।.

द्वारा Diditअपडेट किया गया
webhook-security-hmac-signature-validation.png

HMAC आवश्यक हैHMAC (हैश-आधारित संदेश प्रमाणीकरण कोड) सिग्नेचर वैलिडेशन वेबहुक पेलोड की प्रामाणिकता और अखंडता सुनिश्चित करने, डेटा छेड़छाड़ और स्पूफिंग हमलों को रोकने के लिए एक महत्वपूर्ण तंत्र है।

डेवलपर चेकलिस्टHMAC वैलिडेशन को सफलतापूर्वक लागू करने के लिए सीक्रेट कुंजी प्रबंधन, एल्गोरिथम चयन और प्रेषक और प्राप्तकर्ता दोनों के बीच सुसंगत एन्कोडिंग प्रथाओं पर सावधानीपूर्वक ध्यान देने की आवश्यकता है।

संवेदनशील डेटा की सुरक्षा करेंविशेष रूप से पहचान डेटा या वित्तीय लेनदेन से निपटने के दौरान, HMAC विश्वास की एक मूलभूत परत प्रदान करता है, यह सत्यापित करता है कि डेटा एक वैध स्रोत से उत्पन्न हुआ है और पारगमन में बदला नहीं गया है।

एकीकरण सर्वोत्तम अभ्यासहमेशा प्रति वेबहुक एक मजबूत, अद्वितीय सीक्रेट कुंजी का उपयोग करें, इसे सुरक्षित रूप से संग्रहीत करें, और एपीआई सुरक्षा के उच्च स्तर को बनाए रखने के लिए रोटेशन रणनीतियों पर विचार करें।

आज के आपस में जुड़े डिजिटल परिदृश्य में, सेवाओं के बीच वास्तविक समय संचार के लिए वेबहुक एक आधारशिला बन गए हैं। चाहे आप किसी उपयोगकर्ता की पहचान सत्यापन स्थिति, भुगतान लेनदेन, या डेटा अपडेट के बारे में सूचनाएं प्राप्त कर रहे हों, इन संदेशों की अखंडता और प्रामाणिकता सर्वोपरि है। हालांकि, उचित सुरक्षा उपायों के बिना, वेबहुक स्पूफिंग और छेड़छाड़ के प्रति संवेदनशील हो सकते हैं, जिससे आपके एप्लिकेशन की सुरक्षा से समझौता हो सकता है और संवेदनशील पहचान डेटा जोखिम में पड़ सकता है।

यहीं पर HMAC सिग्नेचर वैलिडेशन काम आता है। HMAC यह सत्यापित करने के लिए एक मजबूत तंत्र प्रदान करता है कि एक वेबहुक पेलोड वास्तव में अपेक्षित प्रेषक से उत्पन्न हुआ है और संचरण के दौरान बदला नहीं गया है। महत्वपूर्ण जानकारी को संभालने वाले सिस्टम का निर्माण या उनके साथ एकीकृत करने वाले डेवलपर्स के लिए, HMAC वैलिडेशन को समझना और लागू करना केवल एक सर्वोत्तम अभ्यास नहीं है - यह मजबूत वेबहुक सुरक्षा के लिए एक आवश्यकता है।

वेबहुक सुरक्षा के लिए HMAC को समझना

HMAC, या हैश-आधारित संदेश प्रमाणीकरण कोड, संदेशों के लिए एक डिजिटल हस्ताक्षर के रूप में कार्य करता है। यह एक क्रिप्टोग्राफ़िक हैश फ़ंक्शन (जैसे SHA-256 या SHA-512) को एक सीक्रेट कुंजी के साथ जोड़ता है ताकि एक संदेश के लिए एक अद्वितीय टैग का उत्पादन किया जा सके। जब एक वेबहुक भेजा जाता है, तो प्रेषक पेलोड और एक साझा सीक्रेट कुंजी के आधार पर एक HMAC हस्ताक्षर की गणना करता है, फिर इस हस्ताक्षर को एक अनुरोध हेडर (जैसे, X-Didit-Signature) में शामिल करता है।

वेबहुक प्राप्त होने पर, आपका एप्लिकेशन सटीक समान पेलोड और सीक्रेट कुंजी का उपयोग करके वही गणना करता है। यदि गणना किया गया हस्ताक्षर हेडर में प्रदान किए गए हस्ताक्षर से मेल खाता है, तो आप आश्वस्त हो सकते हैं कि:

  1. वेबहुक वैध स्रोत (प्रमाणीकरण) से उत्पन्न हुआ है।
  2. पेलोड को पारगमन में छेड़छाड़ या दूषित नहीं किया गया है (अखंडता)।

यह प्रक्रिया एपीआई सुरक्षा के लिए महत्वपूर्ण है, खासकर जब डिडिट जैसे प्लेटफॉर्म से निपटते हैं, जो संवेदनशील पहचान सत्यापन परिणामों को प्रसारित करते हैं। HMAC के बिना, एक दुर्भावनापूर्ण अभिनेता एक वेबहुक को रोक सकता है, सत्यापन स्थिति को बदल सकता है, और संभावित रूप से आपके सुरक्षा प्रोटोकॉल को बायपास कर सकता है, जिससे धोखाधड़ी या अनुपालन उल्लंघन हो सकता है।

HMAC वैलिडेशन: एक डेवलपर की चेकलिस्ट

HMAC वैलिडेशन को प्रभावी ढंग से लागू करने के लिए कुछ प्रमुख सिद्धांतों का पालन करना आवश्यक है:

  1. सुरक्षित सीक्रेट कुंजी प्रबंधन: साझा सीक्रेट कुंजी सबसे महत्वपूर्ण घटक है। यह एक लंबी, यादृच्छिक स्ट्रिंग (जैसे, 32+ वर्ण) होनी चाहिए और दोनों सिरों पर सुरक्षित रूप से संग्रहीत होनी चाहिए। इसे कभी भी हार्डकोड न करें या सार्वजनिक रिपॉजिटरी में उजागर न करें। पर्यावरण चर, सीक्रेट प्रबंधन सेवाओं, या एन्क्रिप्टेड कॉन्फ़िगरेशन फ़ाइलों का उपयोग करें। डिडिट, उदाहरण के लिए, आपको अपने व्यवसाय कंसोल के भीतर वेबहुक सीक्रेट कुंजियों को सुरक्षित रूप से उत्पन्न और प्रबंधित करने की अनुमति देता है।
  2. सुसंगत पेलोड एन्कोडिंग: प्रेषक और प्राप्तकर्ता को HMAC गणना के लिए पेलोड के सटीक समान बाइट प्रतिनिधित्व का उपयोग करना चाहिए। इसका आमतौर पर मतलब UTF-8 एन्कोडिंग का उपयोग करना और यदि लागू हो तो सुसंगत व्हाइटस्पेस या JSON कैननकीकरण सुनिश्चित करना है। कोई भी विचलन, यहां तक कि एक भी बाइट, एक बेमेल हस्ताक्षर में परिणत होगा।
  3. एल्गोरिथम चयन: SHA-256 या SHA-512 जैसे एक मजबूत, आधुनिक क्रिप्टोग्राफ़िक हैश एल्गोरिथम चुनें। पुराने, कमजोर एल्गोरिथम से बचें। डिडिट आमतौर पर HMAC-SHA256 का उपयोग करता है।
  4. सिग्नेचर हेडर पार्सिंग: उपयुक्त HTTP हेडर से हस्ताक्षर निकालें। संभावित उपसर्गों (जैसे, sha256=) या यदि समर्थित हो तो कई हस्ताक्षरों का ध्यान रखें।
  5. समय-आधारित रीप्ले सुरक्षा: जबकि HMAC प्रामाणिकता को मान्य करता है, यह रीप्ले हमलों (जहां एक हमलावर एक पुराना, वैध वेबहुक फिर से भेजता है) को नहीं रोकता है। वेबहुक हेडर में एक टाइमस्टैम्प लागू करें और एक निश्चित सीमा (जैसे, 5 मिनट) से पुराने अनुरोधों को अस्वीकार करें ताकि इसे कम किया जा सके।
  6. स्थिर समय तुलना: गणना किए गए हस्ताक्षर की प्राप्त हस्ताक्षर से तुलना करते समय, एक स्थिर-समय तुलना फ़ंक्शन (जैसे, Node.js में crypto.timingSafeEqual, Python में hmac.compare_digest) का उपयोग करें। यह समय हमलों को रोकता है, जहां एक हमलावर तुलना समय को मापकर सीक्रेट कुंजी के बारे में जानकारी का अनुमान लगा सकता है।

व्यावहारिक कार्यान्वयन: HMAC वैलिडेशन के लिए कोड पैटर्न

आइए देखें कि HMAC वैलिडेशन विभिन्न प्रोग्रामिंग भाषाओं में व्यवहार में कैसे काम करता है। मुख्य तर्क वही रहता है: कच्ची अनुरोध बॉडी प्राप्त करें, सीक्रेट प्राप्त करें, HMAC की गणना करें और तुलना करें।

Node.js उदाहरण


const crypto = require('crypto');
const express = require('express');
const bodyParser = require('body-parser');

const app = express();
const WEBHOOK_SECRET = process.env.DIDIT_WEBHOOK_SECRET; // Store securely!

// Use raw body parser for HMAC calculation
app.use(bodyParser.json({ verify: (req, res, buf) => { req.rawBody = buf; } }));

app.post('/didit-webhook', (req, res) => {
  const signature = req.headers['x-didit-signature'];
  if (!signature) {
    return res.status(401).send('No signature header found.');
  }

  const expectedSignature = `sha256=${crypto
    .createHmac('sha256', WEBHOOK_SECRET)
    .update(req.rawBody)
    .digest('hex')}`;

  // Use timing-safe comparison
  if (!crypto.timingSafeEqual(Buffer.from(signature), Buffer.from(expectedSignature))) {
    console.warn('Webhook signature mismatch!', { received: signature, expected: expectedSignature });
    return res.status(403).send('Invalid signature.');
  }

  console.log('Webhook received and validated:', req.body);
  // Process your webhook event here
  res.status(200).send('OK');
});

app.listen(3000, () => console.log('Webhook receiver listening on port 3000'));

Python उदाहरण (Flask)


import hmac
import hashlib
import os
from flask import Flask, request, abort

app = Flask(__name__)
WEBHOOK_SECRET = os.environ.get('DIDIT_WEBHOOK_SECRET') # Store securely!

@app.route('/didit-webhook', methods=['POST'])
def didit_webhook():
    if not WEBHOOK_SECRET:
        app.logger.error("DIDIT_WEBHOOK_SECRET environment variable not set.")
        abort(500)

    signature = request.headers.get('X-Didit-Signature')
    if not signature:
        abort(401, 'No signature header found.')

    # Get the raw request body
    payload = request.get_data()

    # Calculate expected signature
    expected_signature = hmac.new(
        WEBHOOK_SECRET.encode('utf-8'),
        payload,
        hashlib.sha256
    ).hexdigest()

    # Compare signatures using a timing-safe method
    if not hmac.compare_digest(f'sha256={expected_signature}', signature):
        app.logger.warning(f"Webhook signature mismatch! Received: {signature}, Expected: sha256={expected_signature}")
        abort(403, 'Invalid signature.')

    app.logger.info(f"Webhook received and validated: {request.json}")
    # Process your webhook event here
    return 'OK', 200

if __name__ == '__main__':
    app.run(port=3000)

Node.js में req.rawBody और Python में request.get_data() के उपयोग पर ध्यान दें। HMAC गणना के लिए कच्ची, अपार्स की गई अनुरोध बॉडी का उपयोग करना महत्वपूर्ण है, क्योंकि मिडलवेयर द्वारा कोई भी स्वरूपण परिवर्तन हस्ताक्षर को अमान्य कर सकता है।

वेबहुक सुरक्षा में डिडिट कैसे मदद करता है

डिडिट, एक ऑल-इन-वन पहचान प्लेटफॉर्म के रूप में, अपनी सेवाओं और आपके अनुप्रयोगों के बीच डेटा प्रवाह को सुरक्षित करने के महत्वपूर्ण महत्व को समझता है। इसलिए डिडिट की वेबहुक प्रणाली को एक मुख्य विशेषता के रूप में मजबूत HMAC वैलिडेशन के साथ बनाया गया है। जब आप डिडिट बिजनेस कंसोल में वेबहुक कॉन्फ़िगर करते हैं, तो आपको एक अद्वितीय सीक्रेट कुंजी प्रदान की जाएगी। डिडिट फिर प्रत्येक आउटगोइंग वेबहुक के लिए एक HMAC-SHA256 हस्ताक्षर उत्पन्न करता है और इसे X-Didit-Signature हेडर में शामिल करता है।

डिडिट के वेबहुक को एकीकृत करके और उनके HMAC हस्ताक्षरों को लगन से मान्य करके, आप यह सुनिश्चित करते हैं कि:

  • पहचान सत्यापन, बायोमेट्रिक प्रमाणीकरण परिणाम, या AML स्क्रीनिंग परिणामों के बारे में सभी सूचनाएं प्रामाणिक और छेड़छाड़ रहित हैं।
  • संवेदनशील पहचान डेटा सुरक्षा स्रोत से गंतव्य तक बनी रहती है।
  • आपका एप्लिकेशन केवल वैध घटनाओं पर कार्य करता है, धोखाधड़ी वाली गतिविधियों या गलत स्थिति परिवर्तनों को रोकता है।

डिडिट का दृष्टिकोण स्पष्ट प्रलेखन और सुसंगत हस्ताक्षर पीढ़ी प्रदान करके प्रक्रिया को सरल बनाता है, जिससे आपकी टीम अंतर्निहित सुरक्षा तंत्रों की चिंता किए बिना सत्यापित डेटा को संसाधित करने पर ध्यान केंद्रित कर सकती है।

शुरू करने के लिए तैयार हैं?

HMAC सिग्नेचर वैलिडेशन को लागू करना सुरक्षित और विश्वसनीय एकीकरण बनाने की दिशा में एक मूलभूत कदम है। इन दिशानिर्देशों का पालन करके और डिडिट जैसे प्लेटफॉर्म द्वारा प्रदान की गई सुरक्षा सुविधाओं का लाभ उठाकर, आप अपनी वेबहुक सुरक्षा स्थिति को महत्वपूर्ण रूप से बढ़ा सकते हैं और सामान्य एपीआई कमजोरियों से बचाव कर सकते हैं।

डिडिट के व्यापक पहचान सत्यापन समाधान और सुरक्षित वेबहुक का अन्वेषण करें:

अक्सर पूछे जाने वाले प्रश्न: वेबहुक सुरक्षा और HMAC वैलिडेशन

प्रश्न: HMAC सिग्नेचर वैलिडेशन क्या है और यह वेबहुक के लिए क्यों महत्वपूर्ण है?

उत्तर: HMAC (हैश-आधारित संदेश प्रमाणीकरण कोड) सिग्नेचर वैलिडेशन एक प्रक्रिया है जहां एक साझा सीक्रेट कुंजी का उपयोग करके वेबहुक पेलोड का क्रिप्टोग्राफ़िक हैश उत्पन्न किया जाता है। यह वेबहुक के लिए महत्वपूर्ण है क्योंकि यह डेटा की प्रामाणिकता (यह सुनिश्चित करना कि संदेश अपेक्षित प्रेषक से आया है) और अखंडता (यह पुष्टि करना कि संदेश में छेड़छाड़ नहीं की गई है) दोनों को सत्यापित करता है, स्पूफिंग और छेड़छाड़ हमलों को रोकता है और एपीआई सुरक्षा को बढ़ाता है।

प्रश्न: मैं अपनी वेबहुक सीक्रेट कुंजियों को सुरक्षित रूप से कैसे संग्रहीत और प्रबंधित करूं?

उत्तर: वेबहुक सीक्रेट कुंजियों को पासवर्ड की तरह माना जाना चाहिए। उन्हें पर्यावरण चर, समर्पित सीक्रेट प्रबंधन सेवाओं (जैसे, AWS सीक्रेट्स मैनेजर, HashiCorp Vault), या एन्क्रिप्टेड कॉन्फ़िगरेशन फ़ाइलों में संग्रहीत करें। उन्हें कभी भी हार्डकोड न करें, उन्हें संस्करण नियंत्रण में न डालें, या उन्हें क्लाइंट-साइड कोड में उजागर न करें। समझौता के जोखिम को कम करने और पहचान डेटा सुरक्षा को बढ़ाने के लिए कुंजियों को समय-समय पर घुमाएं।

प्रश्न: HMAC वैलिडेशन को लागू करते समय किन सामान्य गलतियों से बचना चाहिए?

उत्तर: सामान्य गलतियों में HMAC गणना के लिए कच्ची अनुरोध बॉडी का उपयोग न करना (जिससे हस्ताक्षर बेमेल हो जाते हैं), कमजोर हैश एल्गोरिदम का उपयोग करना, हस्ताक्षरों के लिए स्थिर-समय तुलना का उपयोग करने में विफल रहना (समय हमलों के प्रति संवेदनशील), और रीप्ले हमले से सुरक्षा (जैसे, टाइमस्टैम्प का उपयोग करके) को लागू करने की उपेक्षा करना शामिल है। प्रेषक और प्राप्तकर्ता के बीच सुसंगत वर्ण एन्कोडिंग (जैसे, UTF-8) सुनिश्चित करें।

प्रश्न: क्या HMAC रीप्ले हमलों को रोकता है?

उत्तर: नहीं, HMAC स्वयं एक संदेश की प्रामाणिकता और अखंडता की गारंटी देता है। यह किसी दुर्भावनापूर्ण अभिनेता को एक पुराना, वैध रूप से हस्ताक्षरित संदेश (एक रीप्ले हमला) फिर से भेजने से नहीं रोकता है। रीप्ले हमलों को कम करने के लिए, आपको अपने वेबहुक पेलोड और हेडर में एक टाइमस्टैम्प शामिल करना चाहिए, और आपके प्राप्तकर्ता को किसी भी संदेश को अस्वीकार कर देना चाहिए जो एक पूर्वनिर्धारित सीमा (जैसे, 5 मिनट) से पुराना है।

पहचान और धोखाधड़ी के लिए इंफ्रास्ट्रक्चर।

KYC, KYB, ट्रांज़ैक्शन मॉनिटरिंग और वॉलेट स्क्रीनिंग के लिए एक API। 5 मिनट में इंटीग्रेट करें।

मुफ़्त में शुरू करेंहमसे बात करें
इस पेज को समराइज़ करने के लिए AI से पूछें
HMAC सिग्नेचर वैलिडेशन: ठोस वेबहुक सुरक्षा के लिए.