Comparte secretos de webhook de forma segura

El problema

Los secretos de webhook se usan para verificar que las solicitudes HTTP entrantes son legítimas. Cuando estos secretos se comparten por Slack o correo, cualquiera con acceso al canal puede falsificar cargas útiles de webhook. Los secretos de webhook comprometidos pueden dar lugar a la inyección no autorizada de datos, a notificaciones de pago falsas o a integraciones corrompidas.

Cómo ayuda Vaulted

Vaulted cifra tu secreto de webhook en el lado del cliente con AES-256-GCM y lo entrega mediante un enlace que se autodestruye. El servidor nunca ve el secreto en texto plano, y el enlace expira tras verse. Esto garantiza que la verificación del webhook se mantenga intacta, porque el secreto nunca quedó expuesto en tránsito.

Cómo hacerlo

1. Pega tu secreto de firma de webhook en Vaulted
2. Establece un límite de vistas adecuado al número de miembros del equipo que lo necesitan
3. Comparte el enlace cifrado con los desarrolladores que configuran la integración
4. El destinatario copia el secreto en la configuración de su gestor de webhooks y el enlace expira