Webhook測試器

Webhook測試器 是一個免費的用戶端工具，專為處理 Webhook 集成的開發人員設計。無論您是需要檢查來自 Stripe 的有效負載、驗證 GitHub 簽名，還是模擬向您自己的端點發送 POST 請求，此工具都能在您的瀏覽器中處理這一切 — 數據永遠不會離開您的機器。

什麼是 Webhook？

Webhook（也稱為 HTTP 回調或 Web 回調）是當特定事件發生時，服務發送到您的應用程式的自動 HTTP POST 請求。服務會主動將事件數據推送到您配置的 URL，而不是由您的應用程式重複輪詢 API 以獲取更新。Webhooks 為支付處理、版本控制、即時通訊、CI/CD 流水線等領域的即時集成提供動力。

主要功能

如何使用此工具

1. 選擇模式： 選擇四個標籤之一 — 負載檢查器、簽名驗證器、請求模擬器或範例 Webhooks。
2. 輸入數據： 貼上 webhook 負載、輸入要驗證的簽名、配置請求，或從熱門服務中選擇範例 webhook。
3. 執行操作： 點擊操作按鈕來解析、驗證、發送或加載所選的 webhook 數據。
4. 查看結果： 檢查解析後的樹狀視圖、驗證結果、響應詳細資訊或格式化後的範例負載。

Webhook 安全性：為什麼簽名很重要

當 Webhook 通過互聯網發送時，無法保證有效負載來自您預期的服務。攻擊者可能會使用惡意負載偽造對您端點的請求。HMAC 簽名 解決了這個問題：發送者使用共享密鑰對有效負載計算哈希值，並將其包含在標頭中。您的伺服器重新計算哈希值並驗證它是否匹配 — 如果匹配，則負載是真實且未經竄改的。

常見的簽名標頭包括 X-Hub-Signature-256 (GitHub)、Stripe-Signature (Stripe) 和 X-Slack-Signature (Slack)。我們的「簽名驗證器」標籤讓您能直接在瀏覽器中測試此過程。

常見 Webhook 提供者

GitHub

GitHub 會針對代碼推送 (push)、拉取請求 (pull request)、議題 (issue)、版本發佈 (release) 等存儲庫事件發送 webhook。簽名使用 HMAC-SHA256，並配合 X-Hub-Signature-256 標頭。

Stripe

Stripe 發送支付事件 webhook（收款、訂閱、發票）。他們使用基於時間戳的簽名方案，Stripe-Signature 標頭包含 t= 和 v1= 組件。

Slack

Slack 發送交互負載和事件訂閱。簽名使用 HMAC-SHA256，配合 X-Slack-Signature 標頭和帶版本的簽名方案（v0: 前綴）。

Discord

Discord 交互 webhook 包含 Ed25519 簽名。事件負載包含斜槓指令 (slash commands)、按鈕和模態視窗的交互數據。

Twilio

Twilio 為簡訊、語音通話和其他通信事件發送狀態回調。負載通常是表單編碼的，包含 MessageSid、From 和 Body 等欄位。

常見問題解答

什麼是 webhook？

Webhook 是一種 HTTP 回調，當特定事件發生時，它會將即時數據從一個應用程式發送到另一個應用程式。Webhook 會自動將數據推送到您的端點，而不是重複輪詢 API，這使得它們對於事件驅動架構非常高效。

如何驗證 webhook 簽名？

Webhook 簽名是通過使用共享密鑰對有效負載計算 HMAC 哈希值，並將其與請求標頭中發送的簽名進行比較來驗證的。使用「簽名驗證器」標籤貼上您的負載、密鑰和接收到的簽名以檢查它們是否匹配。

使用此工具處理我的 webhook 數據安全嗎？

是的。所有處理完全在您的瀏覽器中使用用戶端 JavaScript 完成。任何 webhook 負載、密鑰或簽名都不會發送到我們的伺服器。您的數據保留在您的機器上。

此工具支持哪些 webhook 提供者？

「範例 Webhooks」標籤包含 GitHub, Stripe, Slack, Discord 和 Twilio 的預建負載。「負載檢查器」和「簽名驗證器」適用於來自任何提供者的任何 JSON webhook 負載。

我可以使用此工具發送測試 webhook 請求嗎？

是的。「請求模擬器」標籤允許您向任何可公開訪問的 URL 發送帶有自定義標頭和 JSON 正文的 HTTP POST 請求。請注意，目標伺服器必須允許跨來源資源共享 (CORS)，瀏覽器才能接收響應。

其他資源

• GitHub Webhooks 文檔
• Stripe Webhooks 指南
• Slack 傳入 Webhooks