Übung: Schützen von Webhooknutzlasten mit einem Geheimnis

Abgeschlossen

In dieser Übung lernen Sie, wie Sie Ihre Webhooknutzdaten mit einem Geheimnis schützen und wie Sie mithilfe Ihrer Azure-Funktion überprüfen, ob Nutzdaten von GitHub stammen.

Abrufen eines Schlüssels für Ihre Azure-Funktion

1. Kehren Sie im Azure-Portal zu der Funktions-App zurück, die Sie in der ersten Übung dieses Moduls erstellt haben.

2. Wählen Sie im linken Menübereich unter Funktionen die Option Funktionen aus. Der Bereich Funktionen wird für Ihre Funktions-App angezeigt.

3. Wählen Sie die erstellte Funktion „HttpTrigger1“ aus. Der Bereich HttpTrigger1 wird für Ihre Funktion angezeigt.

4. Klicken Sie auf der linken Seite des Menübereichs unter Developer (Entwickler) auf Programmieren und testen. Der Bereich Programmieren und testen wird für Ihre Funktion angezeigt.

5. Fügen Sie in der JavaScript-Datei index.js Ihrer Funktion einen Verweis auf die crypto-js-Bibliothek am Anfang der Datei über der module.exports-Anweisung hinzu.

   const Crypto = require('crypto');
   

6. Klicken Sie in der oberen Menüleiste auf Speichern. Dann wird der Bereich Protokolle unten angezeigt.

7. Klicken Sie auf der linken Seite des Menübereichs unter Entwickler auf Funktionsschlüssel. Der Bereich Funktionsschlüssel wird für Ihre Funktion geöffnet.

8. Wählen Sie unter der Spalte Wert den Link Wert anzeigen aus.

9. Wählen Sie das Symbol In Zwischenablage kopieren aus, und speichern Sie diesen Schlüssel für die Verwendung im nächsten Schritt.

10. Klicken Sie auf der linken Seite des Menübereichs unter Developer (Entwickler) auf Programmieren und testen. Der Bereich Programmieren und testen wird für Ihre Funktion angezeigt.

11. Fügen Sie im Codeblock nach der Anweisung context.log den folgenden Code hinzu. Ersetzen Sie <Standardschlüssel> durch den Standardschlüssel, den Sie zuvor in die Zwischenablage kopiert haben:

    const hmac = Crypto.createHmac("sha1", "<default key>");
    const signature = hmac.update(JSON.stringify(req.body)).digest('hex');
    

    Dieser Code berechnet den Hash des Schlüssels mithilfe des gleichen Mechanismus wie GitHub.

12. Fügen Sie einen weiteren const am Anfang des Schlüssels ein, der dem sha1= vorangestellt ist, sodass er dem Format des x-hub-signature im Anforderungsheader entspricht. Fügen Sie Ihrer Funktion den folgenden Code hinzu:

    const shaSignature = `sha1=${signature}`;
    

13. Fügen Sie den folgenden Code zum Abrufen der GitHub-Signatur aus dem Anforderungsheader hinzu:

    const gitHubSignature = req.headers['x-hub-signature'];
    

14. Vergleichen Sie die beiden Zeichenfolgen. Verarbeiten Sie die Anforderung wie folgt, wenn diese übereinstimmen:

    if (!shaSignature.localeCompare(gitHubSignature)) {
        // Existing code
        if (req.body.pages[0].title) {
            ...
        }
        else {
            ...
        }
    }
    

15. Geben Sie dem Sender die Antwort „HTTP 401 (Nicht autorisiert)“ mit der Nachricht zurück, dass die Signaturen nicht übereinstimmen, wenn die Zeichenfolgen nicht übereinstimmen.

    if (!shaSignature.localeCompare(gitHubSignature))
    {
        ...
    }
    else {
        context.res = {
            status: 401,
            body: "Signatures don't match"
        };
    }
    
    

    Die vollständige Funktion sollte wie folgt aussehen:

    const Crypto = require('crypto');
    
    module.exports = async function (context, req) {
        context.log('JavaScript HTTP trigger function processed a request.');
    
        const hmac = Crypto.createHmac("sha1", "<default key>");
        const signature = hmac.update(JSON.stringify(req.body)).digest('hex');
        const shaSignature =  `sha1=${signature}`;
        const gitHubSignature = req.headers['x-hub-signature'];
    
        if (!shaSignature.localeCompare(gitHubSignature)) {
            if (req.body.pages[0].title) {
                context.res = {
                    body: "Page is " + req.body.pages[0].title + ", Action is " + req.body.pages[0].action + ", Event Type is " + req.headers['x-github-event']
                };
            }
            else {
                context.res = {
                    status: 400,
                    body: ("Invalid payload for Wiki event")
                }
            }
        }
        else {
            context.res = {
                status: 401,
                body: "Signatures don't match"
            };
        }
    };
    

16. Klicken Sie in der oberen Menüleiste auf Speichern. Der Bereich Protokolle wird mit der Anweisung Verbunden! angezeigt.

Aktualisieren des Webhookgeheimnisses

1. Wechseln Sie zu Ihrem GitHub-Konto im GitHub-Portal.

2. Wählen Sie Ihr Repository aus.

3. Wählen Sie in der oberen Menüleiste Einstellungen aus. Der Bereich Einstellungen wird angezeigt.

4. Klicken Sie in der Randleiste auf die Option Webhooks. Der Bereich Webhooks wird angezeigt.

5. Wählen Sie neben Ihrem Webhook Bearbeiten aus.

6. Geben Sie im Textfeld Geheimnis den Standardschlüssel aus Ihrer Funktion ein, den Sie zuvor in dieser Übung gespeichert haben.

7. Scrollen Sie zum Ende der Seite, und wählen Sie Webhook aktualisieren aus. Der Bereich Webhooks > Webhooks verwalten wird angezeigt.

Testen des Webhooks und der Azure-Funktion

1. Wählen Sie die Registerkarte Aktuelle Lieferungen aus.

2. Wählen Sie den neuesten (obersten) Übermittlungseintrag aus, indem Sie dessen Schaltfläche mit den Auslassungspunkten (...) auswählen.

3. Wählen Sieerneut übermitteln aus. Wählen Sie im angezeigten Dialogfeld Redeliver payload? (Nutzdaten erneut übermitteln?) die Option Yes, redeliver this payload (Ja, Nutzdaten übermitteln) aus.

   Dadurch wird simuliert, dass Sie Ihre Wikiseite erneut bearbeiten.

4. Wählen Sie den neuesten (obersten) Übermittlungseintrag aus, indem Sie dessen Schaltfläche mit den Auslassungspunkten (...) auswählen.

5. Im Abschnitt Header wird x-hub-signature angezeigt. Sie werden auch feststellen, dass der Antwortcode 200 lautet und angibt, dass die Anforderung erfolgreich verarbeitet wurde.

   Request URL: https://testwh123456.azurewebsites.net/api/HttpTrigger1?code=aUjXIpqdJ0ZHPQuB0SzFegxGJu0nAXmsQBnmkCpJ6RYxleRaoxJ8cQ%3D%3D
   Request method: POST
   content-type: application/json
   Expect:
   User-Agent: GitHub-Hookshot/16496cb
   X-GitHub-Delivery: ce122460-6aae-11e9-99d4-de6a298a424a
   X-GitHub-Event: gollum
   X-Hub-Signature: sha1=<hash of default key>
   

Testen einer ungültigen Signatur

1. Wählen Sie im GitHub-Portal auf der Seite „Webhooks“ die Registerkarte Einstellungen aus.

2. Wählen Sie im Testfeld Secret (Geheimnis) die Option Change Secret (Geheimnis ändern) aus.

3. Geben Sie eine zufällige Zeichenfolge ein, scrollen Sie nach unten, und wählen Sie dann Update Webhook (Webhook aktualisieren) aus.

   Der vom Webhook verwendete Schlüssel sollte nicht mehr mit dem von der Azure-Funktion erwarteten Schlüssel übereinstimmen.

4. Wählen Sie die Registerkarte Aktuelle Lieferungen aus.

5. Wählen Sie den neuesten (obersten) Übermittlungseintrag aus, indem Sie dessen Schaltfläche mit den Auslassungspunkten (...) auswählen.

6. Wählen Sie Redeliver (Erneut übermitteln) und dann im angezeigten Dialogfeld Redeliver payload? (Nutzdaten erneut übermitteln?) die Option Yes, redeliver this payload (Ja, Nutzdaten übermitteln) aus.

7. Dieses Mal werden Sie feststellen, dass der Antwortcode 401 lautet und angibt, dass die Anforderung nicht autorisiert wurde.

8. Wählen Sie den neuesten (obersten) Übermittlungseintrag (redelivery) aus, indem Sie dessen Schaltfläche mit den Auslassungspunkten (...) auswählen.

9. Wählen Sie die Registerkarte Response aus, und vergewissern sich, dass im Abschnitt Body (Text) die Meldung „Signatures don't match“ (Die Signaturen stimmen nicht überein) angezeigt wird.