Passer au contenu principal
Evocrawl signe chaque requête de webhook à l’aide du HMAC-SHA256. La vérification des signatures garantit que les requêtes sont authentiques et n’ont pas été altérées.

Clé secrète

Le secret de votre webhook est disponible dans l’onglet Avancé des paramètres de votre compte. Chaque compte dispose d’un secret unique utilisé pour signer toutes les requêtes webhook.
Gardez le secret de votre webhook en lieu sûr et ne l’exposez jamais publiquement. Si vous pensez que votre secret a été compromis, régénérez-le immédiatement depuis les paramètres de votre compte.

Vérification de la signature

Chaque requête de webhook inclut un en-tête X-Evocrawl-Signature : 
X-Evocrawl-Signature: sha256=abc123def456...

Comment vérifier

  1. Extraire la signature de l’en-tête X-Evocrawl-Signature
  2. Récupérer le corps brut de la requête (ne le parsez pas au préalable)
  3. Calculer le HMAC-SHA256 avec votre clé secrète
  4. Comparer les signatures à l’aide d’une fonction de comparaison à durée constante

Implémentation

import crypto from 'crypto';
import express from 'express';

const app = express();

// Utiliser un parseur de corps brut pour vérifier la signature
app.use('/webhook/firecrawl', express.raw({ type: 'application/json' }));

app.post('/webhook/firecrawl', (req, res) => {
  const signature = req.get('X-Evocrawl-Signature');
  const webhookSecret = process.env.FIRECRAWL_WEBHOOK_SECRET;
  
  if (!signature || !webhookSecret) {
    return res.status(401).send('Non autorisé');
  }
  
  // Extract hash from signature header
  // Extraire le hash de l’en-tête de signature
  if (algorithm !== 'sha256') {
    return res.status(401).send('Algorithme de signature invalide');
  }
  
  // Calculer la signature attendue
  const expectedSignature = crypto
    .createHmac('sha256', webhookSecret)
    .update(req.body)
    .digest('hex');
  
  // Vérifier la signature avec une comparaison sûre au timing
  if (!crypto.timingSafeEqual(Buffer.from(hash, 'hex'), Buffer.from(expectedSignature, 'hex'))) {
    return res.status(401).send('Signature invalide');
  }
  
  // Analyser et traiter le webhook vérifié
  const event = JSON.parse(req.body);
  console.log('Webhook Evocrawl vérifié :', event);
  
  res.status(200).send('ok');
});

app.listen(3000, () => console.log('Écoute sur le port 3000'));

Bonnes pratiques

  • Vérifiez chaque requête. Vérifiez toujours la signature avant de traiter un payload de webhook. Rejetez toute requête qui échoue à la vérification avec un code d’état 401.
  • Utilisez des comparaisons à durée constante. La comparaison de chaînes standard peut révéler des informations temporelles. Utilisez crypto.timingSafeEqual() dans Node.js ou hmac.compare_digest() en Python.
  • Exposez votre point de terminaison en HTTPS. Cela garantit que les payloads de webhook sont chiffrés pendant le transit.