1

Telegram Webhook メカニズムで動作するように設定された Telegram ボットを持っていますが、どのようにリクエストを信頼し、それらが Telegram からのものかを知ることができますか?

Telegram docs に基づいて、2つの方法があることがわかりました。

  • それらをテレガムIPに制限します(これは汚いです。何らかの理由でテレガムがIPを変更すると、ボットがシャットダウンするため、オプションではありません)
  • Webhook のプライベート ロング URL を設定して、サーバーとテレグラムだけが URL を知っているようにします (Webhook を保護するのに十分な解決策ではないと思います。何らかの理由で URL が漏洩した場合、URL はパブリックです。誰もがテレグラムのふりをして、偽のリクエストを送信します)

これら2つは私が見つけたものでした Telegram が OAuth2 のような RSA 公開鍵や、Github のような信頼できるトークンや署名を webhook に提供しないのはなぜですか? セキュリティにはプライベート URL で十分ですか?

4

2 に答える 2

0

秘密の認証トークンをクエリ パラメータとして Webhook の URL に添付できます。つまりhttps://example.com/telegram_webhook?auth=12345、サーバーで確認します。

ベース URL を取得するのが簡単すぎると心配している場合、これはいくらか安全です。

...最も理想的には、Mutual TLS (mTLS) が必要ですが、Telegram がそれをサポートしていることは知りません。

于 2022-02-15T16:19:16.973 に答える