Vonage Video API - Sichere Rückrufe Öffentliche Beta-Ankündigung

Einführung

Die Vonage Video API hat eine neue Funktion namens Sichere Rückrufe die heute in der öffentlichen Beta-Phase ist und im Juni 2023 allgemein verfügbar sein wird. Die Funktion für sichere Rückrufe bietet eine Möglichkeit, zu verifizieren, dass eine Webhook-Rückrufanforderung von Vonage stammt und dass die Nutzdaten während der Übertragung nicht manipuliert wurden. Dies schützt vor unbefugten Rückrufen und bietet zusätzliche Sicherheitsvorteile für Branchen mit spezifischen Compliance-Anforderungen.

Die Vonage Video API verwendet Rückrufe, um Ereignisse und Statusaktualisierungen an die Anwendung für Sitzungsüberwachung, Archivierung/Aufzeichnung, SIP und Experience Composer zu übermitteln. Die sicheren Rückrufe werden mit einem Signaturgeheimnis signiert, das der Benutzer über das Video Account Portal konfiguriert und das von der empfangenden Anwendung verifiziert werden kann, um zu überprüfen, ob der Rückruf von Vonage stammt.

Sichere Rückrufe aktivieren

Besuchen Sie das Video API Dashboard und wählen Sie ein Projekt aus, für das Sie diese Funktion implementieren möchten. Scrollen Sie nach unten, bis Sie Projekt-Einstellungen und die Gesicherter Rückruf Schieberegler sehen, wie unten gezeigt.

Project Settings inside the Video API Dashboard

Drücken Sie die Bearbeiten Taste und schalten Sie die Option Gesicherter Rückruf auf ein, und drücken Sie Speichern.

> Hinweis: Für eingeschränkten eingehenden Verkehr, Vonage IP-Adressen zu der Liste der zugelassenen IP-Adressen Ihrer Firewall hinzugefügt werden.

Nachdem die Funktion nun aktiviert wurde, wollen wir die verschiedenen API-Callbacks und ihre Funktionen besprechen, bevor wir einen davon aktivieren.

Vonage Video API Rückrufe

Die Vonage Video API bietet mehrere API-Rückrufe, die mit dieser Funktion gesichert werden können, darunter:

1. Sitzungsüberwachung - Überwacht die Sitzungsaktivität.

2. Überwachung der Archivierung - Überwacht den Status des Archivs (oder der Aufzeichnungen).

3. SIP-Anrufüberwachung - Überwacht die Aktivität von SIP-Anrufen.

4. Experience Composer-Überwachung - Überwachen Experience Composer.

Wir verwenden Sitzungsüberwachung für dieses Beispiel, aber das in diesem Abschnitt erworbene Wissen gilt für alle anderen erwähnten Rückrufe.

Überwachung von Sitzungen

Entwickler können bestimmte Aktivitäten von Clients von ihrem App-Server aus überwachen. Durch die Registrierung für Callbacks erhält Ihre Callback-URL HTTP-POST-Anfragen, wenn ein Client eine Verbindung herstellt oder etwas veröffentlicht.

Um sie für Ihr aktuelles Video-Projekt zu aktivieren, scrollen Sie nach unten, bis Sie Sitzungsüberwachung und klicken Sie auf Konfigurieren.

Session Monitoring inside the Video API Dashboard

Sie können die Callback-URL konfigurieren und das Signatur-Geheimnis einschalten. Standardmäßig wird eine zufällig generierte Signatur verwendet, Sie können aber auch Ihre eigene angeben. Klicken Sie auf . Senden um fortzufahren. Das System meldet, dass sichere Rückrufe mit der URL und dem Signaturgeheimnis konfiguriert wurden.

Validieren Sie die Anfrage

Es gibt zwei Hauptwege, um sichere Rückrufe zu validieren:

1. Überprüfen der Anfrage - Sichere Rückrufe enthalten ein JWT im Autorisierungskopf. Das Geheimnis, das zum Signieren der Anfrage verwendet wird, entspricht dem Signaturgeheimnis, das mit den api_key in den JWT-Ansprüchen enthalten ist. Sie können Ihr Signaturgeheimnis auf dem Dashboard identifizieren. Es wird empfohlen, dass das Signaturgeheimnis nicht weniger als 32 Bit beträgt, um die Sicherheit zu gewährleisten.

2. Verifizierung der Nutzdaten - Nachdem Sie die Authentizität der Anfrage überprüft haben, können Sie optional überprüfen, ob die Nutzdaten der Anfrage nicht manipuliert wurden, indem Sie einen SHA-256-Hash der Nutzdaten mit dem Feld payload_hash Feld, das in den JWT-Ansprüchen gefunden wurde. Stimmen sie nicht überein, wurde die Nutzlast während der Übertragung manipuliert. Sie müssen die Nutzdaten nur verifizieren, wenn Sie HTTP und nicht HTTPS verwenden, da Transport Layer Security (TLS) Folgendes verhindert MITM-Angriffe.

Ein Beispiel dafür, was die Signierte JSON Web Token (JWT) aussehen würde:

// header
{
  "alg": "HS256",
  "typ": "JWT",
}
// payload
{
  "iat": 1587494962,
  "jti": "c5ba8f24-1a14-4c10-bfdf-3fbe8ce511b5",
  "iss": "Vonage",
  "payload_hash" : "d6c0e74b5857df20e3b7e51b30c0c2a40ec73a77879b6f074ddc7a2317dd031b",
  "api_key": "a1b2c3d",
  "application_id": "aaaaaaaa-bbbb-cccc-dddd-0123456789ab"
}

Beachten Sie, dass das Feld payload_hash Feld ein SHA-256-Hash der Nutzdaten der Anfrage ist. Er kann mit der Nutzlast der Anfrage verglichen werden, um sicherzustellen, dass sie während der Übertragung nicht manipuliert wurde.

A Node.js-Codebeispiel finden Sie hier.

Nachbereitung

Zur Wiederholung, Sichere Rückrufe ist eine Sicherheitsfunktion, die sicherstellt, dass jeder Rückruf während der Übertragung nicht manipuliert wurde. Dies schützt vor dem Abfangen und späteren Abspielen. Es verifiziert, dass die Anfrage von Vonage stammt und stellt sicher, dass die Compliance-Anforderungen für viele wichtige Branchen erfüllt werden. Sie können es ab heute kostenlos nutzen, die allgemeine Verfügbarkeit beginnt im Juni 2023. Bitte besuchen Sie diese Liste der Einschränkungen und Überlegungen, da die Informationen häufig aktualisiert werden.