Podpisy webhooków HMAC (2026):timestamp, replay, surowe body

webhook7 min czytania02 maja 2026

Autor: DevStudio.it

TL;DR

  • webhook hmac signature verification 2026
  • Dla backendów przyjmujących webhooki od płatności, CI i integracji partnerskich.

Dla kogo to jest

  • Dla backendów przyjmujących webhooki od płatności, CI i integracji partnerskich.

Fraza (SEO)

webhook hmac signature verification 2026

Algorytm

  • Czytaj raw body przed parse JSON — inaczej podpis się nie zgadza.
  • HMAC-SHA256(secret, payload) lub schemat dostawcy.
  • Porównanie constant-time (crypto.timingSafeEqual).

Replay

  • Nagłówek timestamp od dostawcy + okno np. 5 min.
  • Przechowuj event_id z TTL aby odrzucić duplikaty.

Typowe błędy

  • Czytaj raw body przed parse JSON — inaczej podpis się nie zgadza.
  • HMAC-SHA256(secret, payload) lub schemat dostawcy.

FAQ

401 vs 400 przy złym podpisie?

Często 400/401 bez szczegółów — nie ujawniaj formatu walidacji atakującym.

Chcesz wdrożyć to z zespołem?

Powiązane wpisy

Rate limiting i throttling API (2026): wzorce pod SaaS i strony z formularzami
7 min czytania
Integracje API – jak działają i popularne rozwiązania w 2026
11 min czytania
Stripe Customer Portal — subskrypcje, webhooks i Next.js w 2026
5 min czytania

O autorze

Budujemy szybkie strony WWW, aplikacje web/mobile, chatboty AI i hosting — z naciskiem na SEO i konwersję.

Przydatne linki

Od teorii do produkcji — Branchly, hosting i realizacje.

Podoba Ci się nasze podejście? Zbudujmy coś razem.

Rozpocznij konfigurację projektu