https://d226lax1qjow5r.cloudfront.net/blog/blogposts/vonage-video-api-secure-callbacks-public-beta-announcement/videoapi_secure-callbacks.png

Michael Crumpデベロッパー・エクスペリエンス・マネージャー

マイケル・クランプはVonageのデベロッパーエクスペリエンスチームに所属し、コーダー、YouTuber、そして様々な.NETやクラウド/通信開発トピックについて頻繁に講演を行っています。彼は、開発者がそれぞれの利点を分かりやすく理解できるようにすることに情熱を注いでいます。

Vonage Video API - セキュアコールバックパブリックベータのお知らせ

最終更新日 May 31, 2023

#video-api

#releases

所要時間：1 分

はじめに

Vonage Video APIにはセキュア・コールバックと呼ばれる新機能があり、本日よりパブリック・ベータが開始され、2023年6月より一般提供が開始される。セキュア・コールバック機能は、ウェブフック・コールバック・リクエストがVonageからのものであり、そのペイロードが転送中に改ざんされていないことを検証する方法を提供します。これにより、不正なコールバックから保護され、特定のコンプライアンス要件がある業界向けにセキュリティ上の利点が追加されます。

Vonage Video API は、コールバックを使用して、セッション監視、アーカイブ/録画、SIP、および Experience Composer のアプリケーションにイベントとステータス更新を提供します。安全なコールバックは、Video Account Portal を通してユーザが設定する署名シークレットによって署名され、受信側のアプリケーションによってコールバックの発信元が Vonage であることを検証できます。

安全なコールバックの有効化

動画APIダッシュボード Video APIダッシュボードにアクセスし、この機能を実装したいプロジェクトを選択します。下にスクロールして プロジェクト設定と 保護されたコールバックスライダーボタンが表示されるまでスクロールします。

Project Settings inside the Video API Dashboard

を押します。編集ボタンを押して セキュアード・コールバックスライダーをオンに切り替え保存.

> 注：受信トラフィックを制限する場合、 Vonage IPアドレスをファイアウォールの承認IPアドレスリストに追加する必要があります。

さて、この機能が有効になったので、有効にする前に、様々なAPIコールバックとそれぞれが何をするかについて説明しよう。

Video APIコールバック

Vonage Video API は、この機能で保護できるいくつかの API コールバックを提供します：

セッションの監視- セッションのアクティビティを監視します。
アーカイブ監視- アーカイブ（または録画）の状態を監視します。
SIPコールモニタリング- SIPコールのアクティビティを監視します。
エクスペリエンス・コンポーザーのモニタリング- モニターエクスペリエンス・コンポーザー.

使用するのは セッション監視を使いますが、このセクションで得た知識は、他のどのコールバックにも当てはまります。

セッション監視

開発者は、アプリサーバー内からクライアントの特定のアクティビティを監視できます。コールバックに登録することで、クライアントが接続したり公開したりしたときに、コールバックURLがHTTP POSTリクエストを受け取るようになります。

現在の Video プロジェクトでこの機能を有効にするには、次の項目が表示されるまで下にスクロールします。 セッションモニタリングまでスクロールして をクリックします。

Session Monitoring inside the Video API Dashboard

コールバックURLの設定と 署名の秘密をオンにします。デフォルトではランダムに生成された署名が提供されますが、独自の署名を指定することもできます。クリック送信をクリックします。セキュアコールバックがURLと署名シークレットで構成されたことが報告されます。

リクエストを検証する

安全なコールバックを検証するには、主に2つの方法がある：

リクエストの検証- セキュアコールバックはAuthorizationヘッダーにJWTを含める。リクエストに署名するために使用されるシークレットは、JWTクレームに含まれるJWTに関連付けられた署名シークレットに対応する。 api_keyに関連付けられた署名シークレットに対応します。署名の秘密はダッシュボードで確認できます。セキュリティを確保するために、署名秘密は32ビット以上であることが推奨される。
ペイロードの検証- リクエストの真正性を検証したら、オプションで、ペイロードのSHA-256ハッシュとJWTクレームの payload_hashフィールドと比較することで、リクエストのペイロードが改竄されていないことを検証することができる。両者が一致しない場合、ペイロードは転送(transport)中に改ざんされている。ペイロードをVerifyする必要があるのは、HTTPSではなくHTTPを使用している場合だけです。 MITM攻撃.

の例 署名された JSONウェブトークン (JWT)の例です：

// header
{
  "alg": "HS256",
  "typ": "JWT",
}
// payload
{
  "iat": 1587494962,
  "jti": "c5ba8f24-1a14-4c10-bfdf-3fbe8ce511b5",
  "iss": "Vonage",
  "payload_hash" : "d6c0e74b5857df20e3b7e51b30c0c2a40ec73a77879b6f074ddc7a2317dd031b",
  "api_key": "a1b2c3d",
  "application_id": "aaaaaaaa-bbbb-cccc-dddd-0123456789ab"
}

フィールドがリクエストペイロードの payload_hashフィールドはリクエストペイロードの SHA-256ハッシュであることに注意すること。このフィールドをリクエストのペイロードと比較することで、リクエストが転送中に改竄されていないことを確認できる。

A Node.jsのコードサンプルはこちらにあります。.

まとめ

まとめ セキュア・コールバックは、各コールバックが転送中に改ざんされていないことを保証するセキュリティ機能です。これは、傍受や後のリプレイを防御します。リクエストの発信元がVonageであることを確認し、多くの重要な業界のコンプライアンス・ニーズを満たすことを保証します。2023年6月より一般利用が開始され、本日より無料でご利用いただけます。こちらのこの制限と考慮事項のリストページ情報は頻繁に更新されます。