Webhookテスター

Webhookテスターは、Webhook統合を扱う開発者のために設計された無料のクライアントサイドツールです。Stripeからのペイロードを検査したり、GitHubの署名を検証したり、独自のエンドポイントにPOSTリクエストをシミュレートしたりする必要がある場合、このツールはすべてブラウザ内で処理します。データがお使いのデバイスから外部に送信されることはありません。

Webhookとは何ですか？

Webhook（HTTPコールバックまたはウェブコールバックとも呼ばれます）は、特定のイベントが発生したときにサービスがアプリケーションに送信する自動化されたHTTP POSTリクエストです。アプリケーションがアップデートのためにAPIを繰り返しポーリングする代わりに、サービスが設定したURLにイベントデータを積極的にプッシュします。Webhookは、決済処理、バージョン管理、メッセージング、CI/CDパイプラインなどのリアルタイムな統合を支えています。

主な機能

このツールの使い方

1. モードを選択する: ペイロードインスペクター、署名ベリファイア、リクエストシミュレーター、サンプルWebhookの4つのタブから1つを選択します。
2. データを入力する: Webhookペイロードを貼り付けるか、検証する署名を入力するか、リクエストを設定するか、人気サービスからサンプルWebhookを選択します。
3. アクションを実行する: アクションボタンをクリックして、選択したWebhookデータの解析、検証、送信、または読み込みを行います。
4. 結果を確認する: 解析されたツリービュー、検証結果、レスポンスの詳細、またはフォーマットされたサンプルペイロードを確認します。

Webhookのセキュリティ: なぜ署名が重要なのか

Webhookがインターネット経由で送信されるとき、そのペイロードが期待するサービスから送信されたという保証はありません。攻撃者が悪意のあるペイロードをエンドポイントに偽装リクエストとして送信する可能性があります。HMAC署名はこの問題を解決します。送信者は共有秘密鍵を使用してペイロードのハッシュを計算し、それをヘッダーに含めます。サーバーはハッシュを再計算して一致することを確認します。一致すれば、ペイロードは本物であり、改ざんされていないことが証明されます。

一般的な署名ヘッダーには、X-Hub-Signature-256 (GitHub)、Stripe-Signature (Stripe)、X-Slack-Signature (Slack) などがあります。当社の署名ベリファイアタブでは、このプロセスをブラウザで直接テストできます。

一般的なWebhookプロバイダー

GitHub

GitHubは、プッシュ、プルリクエスト、イシュー、リリースなどのリポジトリイベントに対してWebhookを送信します。署名には、X-Hub-Signature-256ヘッダーを伴うHMAC-SHA256が使用されます。

Stripe

Stripeは、支払いイベント（請求、サブスクリプション、請求書）のWebhookを送信します。タイムスタンプベースの署名スキームを使用しており、Stripe-Signatureヘッダーにt=とv1=のコンポーネントが含まれています。

Slack

Slackは、インタラクションペイロードやイベントサブスクリプションを送信します。署名には、X-Slack-Signatureヘッダーとバージョン付き署名スキーム（v0:プレフィックス）を伴うHMAC-SHA256が使用されます。

Discord

DiscordのインタラクションWebhookには、Ed25519署名が含まれます。イベントペイロードには、スラッシュコマンド、ボタン、モーダルのためのインタラクションデータが含まれます。

Twilio

Twilioは、SMS、音声通話、その他の通信イベントのステータスコールバックを送信します。ペイロードは通常、MessageSid、From、Bodyなどのフィールドを含むフォーム形式でエンコードされています。

よくある質問

Webhookとは何ですか？

Webhookは、特定のイベントが発生したときに、あるアプリケーションから別のアプリケーションへリアルタイムにデータを送信するHTTPコールバックです。APIを繰り返しポーリングする代わりに、Webhookはデータをエンドポイントに自動的にプッシュするため、イベント駆動型アーキテクチャにおいて効率的です。

Webhookの署名を検証するにはどうすればよいですか？

Webhookの署名は、共有秘密鍵を使用してペイロードのHMACハッシュを計算し、リクエストヘッダーで送信された署名と比較することで検証されます。「署名ベリファイア」タブを使用して、ペイロード、秘密鍵、受信した署名を貼り付け、それらが一致するかどうかを確認してください。

このツールで私のWebhookデータは安全ですか？

はい。すべての処理は、クライアントサイドのJavaScriptを使用してブラウザ内で完全に行われます。Webhookのペイロード、秘密鍵、署名が当社のサーバーに送信されることはありません。データはお使いのデバイスに留まります。

このツールはどのWebhookプロバイダーをサポートしていますか？

「サンプルWebhook」タブには、GitHub、Stripe、Slack、Discord、Twilioの構築済みペイロードが含まれています。「ペイロードインスペクター」と「署名ベリファイア」は、あらゆるプロバイダーのJSON Webhookペイロードで動作します。

このツールからテスト用のWebhookリクエストを送信できますか？

はい。「リクエストシミュレーター」タブでは、カスタムヘッダーとJSONボディを含むHTTP POSTリクエストを、公開されている任意のURLに送信できます。ブラウザがレスポンスを受信するには、ターゲットサーバーがクロスオリジンリクエスト（CORS）を許可している必要があることに注意してください。

追加リソース

• GitHub Webhook ドキュメント
• Stripe Webhook ガイド
• Slack インカミング Webhook