Webhook测试器

Webhook测试器 是一款专为处理 Webhook 集成的开发人员设计的免费客户端工具。无论您需要检查来自 Stripe 的负载、验证 GitHub 签名，还是向您自己的端点模拟 POST 请求，此工具都能在您的浏览器中处理这一切 — 数据绝不会离开您的机器。

什么是 Webhook？

Webhook（也称为 HTTP 回调或 Web 回调）是一种自动化的 HTTP POST 请求，当特定事件发生时，服务会向您的应用程序发送该请求。服务不再让您的应用程序重复轮询 API 以获取更新，而是主动将事件数据推送到您配置的 URL。Webhook 为支付处理、版本控制、消息传递、CI/CD 流水线等实时集成提供支持。

主要功能

如何使用此工具

1. 选择模式： 选择四个选项卡之一 — 负载检查器、签名验证器、请求模拟器或示例 Webhook。
2. 输入您的数据： 粘贴 Webhook 有效负载、输入要验证的签名、配置请求，或从热门服务中挑选示例 Webhook。
3. 执行操作： 点击操作按钮以解析、验证、发送或加载选定的 Webhook 数据。
4. 查看结果： 检查解析后的树状视图、验证结果、响应详情或格式化的示例负载。

Webhook 安全：为什么签名很重要

当 Webhook 通过互联网发送时，无法保证有效负载确实来自您预期的服务。攻击者可以向您的端点伪造带有恶意负载的请求。HMAC 签名 解决了这个问题：发送者使用共享密钥计算负载的哈希值，并将其包含在标头中。您的服务器重新计算哈希值并验证其是否匹配 — 如果匹配，则说明有效负载是真实的且未经篡改。

常见的签名标头包括 X-Hub-Signature-256 (GitHub), Stripe-Signature (Stripe), 以及 X-Slack-Signature (Slack)。我们的“签名验证器”选项卡让您可以直接在浏览器中测试此过程。

常用 Webhook 提供商

GitHub

GitHub 为存储库事件（如推送、拉取请求、工单、发布等）发送 Webhook。签名使用 HMAC-SHA256，标头为 X-Hub-Signature-256。

Stripe

Stripe 发送支付事件 Webhook（费用、订阅、发票）。他们使用基于时间戳的签名方案，其 Stripe-Signature 标头包含 t= 和 v1= 组件。

Slack

Slack 发送交互负载和事件订阅。签名使用 HMAC-SHA256，标头为 X-Slack-Signature，并采用版本化签名方案（v0: 前缀）。

Discord

Discord 交互 Webhook 包含 Ed25519 签名。事件负载包含斜杠命令、按钮和模态框的交互数据。

Twilio

Twilio 发送短信、语音通话和其他通信事件的状态回调。有效负载通常经过表单编码，包含 MessageSid, From, 和 Body 等字段。

常见问题解答

什么是 Webhook？

Webhook 是一种 HTTP 回调，当特定事件发生时，它会将实时数据从一个应用程序发送到另一个应用程序。Webhook 会自动将数据推送到您的端点，而不是重复轮询 API，这使得它们在事件驱动型架构中非常高效。

如何验证 Webhook 签名？

通过使用共享密钥计算有效负载的 HMAC 哈希值并将其与请求头中发送的签名进行比较来验证 Webhook 签名。使用“签名验证器”选项卡粘贴您的有效负载、密钥和接收到的签名，以检查它们是否匹配。

我的 Webhook 数据在这个工具上安全吗？

是的。所有处理完全在您的浏览器中使用客户端 JavaScript 完成。任何 Webhook 有效负载、密钥或签名都不会发送到我们的服务器。您的数据保留在您的本地机器上。

此工具支持哪些 Webhook 提供商？

“示例 Webhook”选项卡包含 GitHub, Stripe, Slack, Discord 和 Twilio 的预构建负载。“负载检查器”和“签名验证器”适用于来自任何提供商的任何 JSON Webhook 有效负载。

我可以使用此工具发送测试 Webhook 请求吗？

是的。“请求模拟器”选项卡允许您向任何可公开访问的 URL 发送带有自定义标头和 JSON 正文的 HTTP POST 请求。请注意，目标服务器必须允许跨源请求 (CORS)，浏览器才能接收响应。

更多资源

• GitHub Webhook 文档
• Stripe Webhook 指南
• Slack 传入 Webhook