如何在JIRA webhook中添加身份验证标头

Question

我正在编写一些Java REST API,它们将通过JIRA管理控制台配置的Web Hook调用.但是,在JIRA中配置Web挂钩时,我没有看到任何添加身份验证标头的方法.

如果没有标头,就会出现安全问题,因为任何人都可以调用我的Java REST API.

有人可以在这里建议如何在Web钩子中添加自定义标头可能的一些例子.我已经阅读了Atlassian develper文档,但在那里找不到任何解决方案.

Answer 1

将用户名和密码添加到Jira Cloud webhook URL,例如

• http://user:password@mycallbackurl.com

不幸的是,Jira Cloud忽略了它.似乎其他Atlassian产品确实提供了为基本身份验证设置标头/提供用户名和密码的功能.

另见:

• https://jira.atlassian.com/browse/JRA-31953
• https://answers.atlassian.com/questions/12270170/where-does-the-webhook-arrive-from.

你基本上有两个选择:

• 您可以在webhook URL中添加API密钥或某种秘密.缺点是秘密可能会出现在您的Web服务器日志中.
• 不要信任webhook POST正文(JSON)并从API中提取信息.

将Atlassian服务器IPS添加到白名单也是有意义的:

• https://confluence.atlassian.com/cloud/database-and-ip-information-744721662.html#DatabaseandIPinformation-IPAddressrange.

虽然它不能完全消除攻击媒介,因为攻击也可能来自另一个Jira云环境.

Answer 2

不支持在 JIRA webhook 配置中添加额外的标头。因此，无法在 webhook 配置中添加身份验证标头。要进行身份验证，一种方法是 1) 从传入的 JSON 中检索用户信息 2) 进行 JIRA REST API 调用以检查用户的真实性 3) 拒绝或允许根据结果进行进一步处理