웹훅 시크릿 안전하게 공유하기

문제

웹훅 시크릿은 수신 HTTP 요청이 합법적인지 검증하는 데 사용됩니다. 이 시크릿이 Slack이나 이메일로 공유되면 채널에 접근 가능한 누구나 웹훅 페이로드를 위조할 수 있습니다. 유출된 웹훅 시크릿은 무단 데이터 주입, 가짜 결제 알림, 통합 시스템 손상으로 이어질 수 있습니다.

Vaulted가 도움이 되는 방법

Vaulted는 웹훅 시크릿을 AES-256-GCM으로 클라이언트 측 암호화하고 자동 삭제 링크로 전달합니다. 서버는 평문 시크릿을 절대 볼 수 없으며 링크는 열람 후 만료됩니다. 시크릿이 전송 중에 노출된 적이 없으므로 웹훅 검증이 온전히 유지됩니다.

사용 방법

1. 웹훅 서명 시크릿을 Vaulted에 붙여 넣기
2. 필요한 팀원 수에 맞는 열람 횟수 제한 설정
3. 통합을 설정하는 개발자들에게 암호화 링크 공유
4. 웹훅 핸들러 설정에 시크릿을 복사하면 링크가 만료됨