ウェブフックのセキュリティ

お知らせ：当社は、お客様により充実したサポート情報を迅速に提供するため、本ページのコンテンツは機械翻訳を用いて日本語に翻訳しています。正確かつ最新のサポート情報をご覧いただくには、本内容の英語版を参照してください。

Zoho Sign では、HMAC-SHA 256（SHA 256 を用いたハッシュベースのメッセージ認証コード）を利用して Webhook を保護するオプションを提供しています。これは業界標準のハッシュ方式であり、Webhook の信頼性と完全性を確保します。HMAC による Webhook の保護により、次の点を確認できます。

Webhook リクエストが Zoho Sign から送信されたかどうか（シークレットキーは Zoho Sign と受信側アプリケーションのみが知っている必要があります）。
Webhook の内容が途中で改ざんされていないかどうか（完全性）。

Zoho Sign における Webhook セキュリティの仕組み

Webhook が Zoho Sign から送信される際、HMAC 署名がリクエストヘッダーに X-ZS-Webhook-署名 という名前で追加されます。Webhook リクエストを受信したアプリケーションは、同じシークレットキーを用いて HMAC 署名を生成し、リクエストヘッダーの値と照合します。値が一致すればデータは正当であり、一致しない場合は改ざんされていることになります。

HMAC 署名の生成

Zoho Sign は、Webhook データ内容の署名を HMAC-SHA256 アルゴリズムで計算し、その結果を base64 形式でリクエストヘッダーに送信します。以下はサンプルデータを用いた説明です。

データの内容	{{'requests':{'request_name':'テスト名前'},'通知':{'operation_type':'RequestSigningSuccess'}}
secret_key	thisisthesamplekeyfortestingpurposes
base64encode(HMAC SHA-256(データの内容+secret_key))	drbSrM4H816RYKpZiRBLddUa0yHaTrwjtY04sIZFZus=

以下は、このWebhookリクエストヘッダー（HMACヘッダー）がどのように表示されるかの画像です。

受信アプリケーションでのHMAC署名の検証

データの内容は文字列として読み取り、JSON形式でキーの並び順が変更されるのを防いでください。
シークレットキーを使用してデータの内容のHMAC SHA-256ハッシュを計算し、その結果をbase64エンコードします。
手順2で取得した値と、受信したHMACヘッダー（X-ZS-Webhook-署名）の値を比較します。一致しない場合は、Webhookリクエストを却下してください。

HMAC署名を認証するためのサンプルJavaコードスニペット

非公開 static String verifyHmacHash(String secretKey, String データの内容, String hmacHash) throws Exception
{
String macAlgoName = 'HmacSHA256';
byte[] secretKeyBytes = secretKey。getBytes(StandardCharsets。UTF_8);
Mac mac = Mac。getInstance(macAlgoName);
SecretKeySpec keySpec = 新規 SecretKeySpec(secretKeyBytes, mac。getAlgorithm());
mac。init(keySpec);
byte[] macData = mac。doFinal(データの内容.getBytes(StandardCharsets。UTF_8));
String calculatedHmac = java。util。Base64。getEncoder().encodeToString(macData);
if(hmacHash。equals(calculatedHmac))
{
System.出力.println('ハッシュが一致しました。Webhookデータの内容は有効です!!');
}
else
{
System.出力.println('ハッシュが一致しません。Webhookデータの内容が改ざんされています!!');
}
返品する calculatedHmac;
}