在 DocuSign 的信封级 webhook 中设置 HMAC 是否需要连接配置

Is Connect Configuration required for setting up HMAC in envelope-level webhook in DocuSign

我想使用具有 HMAC 安全性的信封级 webhook 进行通知,我在 eventNotification 对象中找到了一个字段 'includeHMAC',为了使用它,我需要在连接页面中设置一个 HMAC 密钥。我生成了一个新密钥,但在文档中 https://developers.docusign.com/platform/webhooks/connect/setting-up-hmac/ 有一些步骤要求在连接配置中包含 HMAC 签名,我知道如果我想使用帐户级别的 webhook,这是必需的,对于信封级别的 webhook,我需要为 HMAC 安全性创建自定义配置,还是生成密钥本身够了吗?

是的,可以为信封级连接 webhook 包含 HMAC 代码(签名)。

为此,请在 Envelopes:create API 调用的 eventNotification 对象中将 includeHMAC 属性设置为 true。参见 docs

但是,您需要使用 eSignature 管理工具的“连接”部分设置 HMAC 密钥(机密)。所以这意味着该帐户需要启用连接功能。

您不需要设置帐户级别的连接配置。

我们有一个内部增强请求 CONNECT-2406,以使 HMAC 机密屏幕可供所有客户使用。请让您的 DocuSign 联系人将您的信息添加到该票证中。

推荐:您也可以通过 https://feedback.docusign.com

提出这个问题

HMAC 替代方案

使用 HMAC 验证 webhook 通知消息的主要替代方法是使用相互 TLS。

还有

OP 询问:

Is it possible to enable this via esignature api for every account that uses my integration (app created from the Apps & Keys) and generate the HMAC keys programmatically.

不幸的是,用于管理 HMAC 密钥的 API 不是 public。 但是您可以添加您的投票来改变这一点!看到这个 DocuSign feedback item