在我的应用程序中,我公开了一个rest端点,并在twilio帐户中为传入消息配置了它。现在,由于请求不是来自登录用户,而是来自外部客户,因此请求中没有发送令牌,因此公开的API是不安全的。
除了使用https调用之外,还有什么方法可以确保它的安全吗?
这就是x-twilio-signature的用途。来自Twilio的Webhook请求将具有此HTTP请求头。您可以在下面的实现中阅读更多内容。
如何在Node.js 中保护Twilio webhook URL
安全
对于@Alan提到的内容,我也会让你的URL很难猜测。https://softwareengineering.stackexchange.com/questions/325806/are-private-unguessable-urls-equivalent-to-password-based-authentication