Slack api Slack斜杠命令/传出webhook是否安全?
有人在Slack中签出传出的Webhook和Slash命令吗 在Slash命令和传出webhook的情况下,命令字符串连同用户id和令牌在POST正文中发送到外部URL(对应于该命令)。问题是,所有团队成员的令牌保持不变(令牌在集成页面上可见,因此对团队是公共的。端点URL也是公共的)。这意味着这是一种针对团队验证请求的机制,但没有针对用户验证请求的机制 我可以使用相同的头、令牌和请求主体从不同的服务器复制请求,但是使用我的团队成员的用户id,使其看起来好像是其他人执行了该命令。也无法验证请求是否来自空闲服务器 我的问题是——我是不是遗漏了什么?Slash命令是用于CRUD操作(在外部服务上),还是仅仅用于从天气、堆栈溢出或公共API等简单服务获取数据?如果没有,你如何解决这个问题Slack api Slack斜杠命令/传出webhook是否安全?,slack-api,Slack Api,有人在Slack中签出传出的Webhook和Slash命令吗 在Slash命令和传出webhook的情况下,命令字符串连同用户id和令牌在POST正文中发送到外部URL(对应于该命令)。问题是,所有团队成员的令牌保持不变(令牌在集成页面上可见,因此对团队是公共的。端点URL也是公共的)。这意味着这是一种针对团队验证请求的机制,但没有针对用户验证请求的机制 我可以使用相同的头、令牌和请求主体从不同的服务器复制请求,但是使用我的团队成员的用户id,使其看起来好像是其他人执行了该命令。也无法验证请求是
更新-与@SlackAPI交谈,他们说我们需要单独验证用户id。这只是Slack团队默认权限设置的情况。但是一旦您限制团队成员对集成的访问,集成的配置(包括令牌)就不再是公共的。尽管调用URL仍然是公共的,但如果没有令牌,恶意用户将无法重新创建请求 我建议大多数Slack团队出于安全目的限制对集成的访问。您仍然可以根据请求进行访问,这允许您作为管理员审核和批准每个请求 权限设置可在以下位置找到:
管理
/权限
/已批准的应用
=打开