那些遇到过的问题

如何验证 webhook 的请求是否来自 Telegram?

ami*_*dar 4 telegram telegram-bot telegram-webhook telegram-api

我有一个 Telegram 机器人,它设置为与 Telegram webhook 机制配合使用,但如何信任请求并知道它们是否来自 Telegram?

根据 Telegram 文档,我发现有两种方法:

  • 将它们限制为 telegam ip(这很脏,如果出于某种原因 telegam 更改其 ip,我的机器人将关闭,因此这不是一个选项)
  • 为 webhook 设置一个私有长 url,这样只有我的服务器和 telegram 知道该 url(我认为这不是一个足够好的解决方案来保护我的 webhook,如果由于某种原因我的 url 泄漏,则 url 是公开的,每个人都可以假装他们是 telegram,并且发送虚假请求)

这两个是我发现的,有什么我想念的吗?为什么 Telegram 不为其 Webhook 提供像 OAuth2 这样的 rsa 公钥或像 Github 这样的可信令牌或签名?私人网址足以保证安全吗?

Jor*_*eña 9

从Bot API 6.1开始,secret_token该方法有一个新的可选字符串参数setWebhook

\n
\n

要在每个 Webhook 请求中的标头 \xe2\x80\x9cX-Telegram-Bot-Api-Secret-Token\xe2\x80\x9d 中发送的秘密令牌,1-256 个字符。仅允许使用字符 AZ、az、0-9、_ 和 -。该标头可用于确保请求来自您设置的 Webhook。

\n
\n

因此,您可以在设置 Webhook 时传递此参数,然后在每个传入请求上验证标头是否X-Telegram-Bot-Api-Secret-Token匹配。

\n

归档时间:

查看次数:

4539 次

最近记录:

3 年,4 月 前
相关归档
我可以用什么来在我的网站上实现Telegram消息? 13
如何在Telegram API中获取我的应用ID? 6
创建新的应用程序电报 API - 始终显示错误 6
基于PHP的网站上基于电报的聊天:HOWTO? 5
Telegram URI 方案向指定用户发送消息 5
如何检查用户是否订阅了特定的 Telegram 频道(Python / PyTelegramBotApi)? 5
如何使用 python 通过 telegram API 通过 URL 发送图像? 5
登录我的帐户时,Telethon 不断将我注销。电报、Python 5
如何通过帖子链接阅读电报频道帖子的内容? 1
如何使用内联按钮通过 url 发送消息 1
难疑归档
grep一个文件,但显示几个周围的行? 3277
如何删除远程标签? 3121
在JavaScript中编码URL? 2392
垂直对齐图像旁边的文字? 1881
如何生成随机字母数字字符串? 1679
什么是未定义的引用/未解析的外部符号错误,我该如何解决? 1418
Android SDK安装找不到JDK 1185
在React JSX中循环 1131
如何查看运行我的脚本的Python版本? 1099
检查SQL Server中是否存在表 1068