Hoe weet ik zeker dat een binnenkomende webhook echt van de bron komt?
Open webhook-endpoints accepteren elk request. Een aanvaller die de URL kent kan jouw flow voeden met fake data. HMAC-signing in de header is de standaardoplossing, IP-allowlist is een tweede laag.
Probeer dit eerst zelf
- 1Vraag bij de bron (Stripe, GitHub, Mollie, Shopify) om signing-secret aanzetten en het secret in een vault zetten, niet in de flow-stap zelf.
- 2Bereken in de eerste stap van de flow de HMAC over de raw body met dat secret en vergelijk met de signature-header. Mismatch betekent direct stoppen.
- 3Gebruik een time-window van bijvoorbeeld 5 minuten op de timestamp in de payload, anders blijft een gelekte oude request bruikbaar voor replay.
- 4Voeg waar mogelijk een IP-allowlist toe voor bekende bron-ranges, vooral bij payment-providers die hun IP's publiceren.
- 5Log elke afgewezen request apart, dat is je vroege waarschuwing dat iemand de URL probeert te raden of misbruiken.
Wanneer ons inschakelen
Werk je met een bron die geen HMAC ondersteunt en wel financiele of persoonsdata stuurt, kunnen we kijken naar een proxy-laag die de verificatie alsnog doet.
Zie ook
- n8n: zelf hosten of cloud-versie nemen?Self-hosted is goedkoper bij volume en geeft data-controle. Cloud spaart je de ops weg.
- Zapier of Make: welke past beter?Zapier is rechttoe-rechtaan, Make doet complexere flows met routers en iterators voor minder geld.
- Power Automate Cloud of Desktop: wat moet ik nemen?Cloud voor SaaS-koppelingen en triggers. Desktop voor RPA op een Windows-machine met legacy-apps.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.