Twilio接收短信安全

Question

我在这里关注quickstart示例： Twilio Python快速入门

服务器应如何验证请求实际来自twilio？

我正在看电话号码配置屏幕， 这就是我所看到的。 我没有看到IP白名单或指定twilio的auth凭证的方法。

似乎任何知道URL和响应格式的人都可以假装是twilio。

谢谢您的帮助 ：）

Answer 1

Twilio开发者传道者在这里。

我知道Akhil回答了这个问题（感谢Akhil！），你接受了答案。 然而，还有一个，可以说是更好的验证请求来自Twilio的方法，我想与你分享。

当Twilio拨打您的SMS URL（或您已设置的任何其他URL）时，它将使用URL，请求中的参数和您帐户的Auth Token的组合对请求进行签名。 然后将签名作为请求头X-Twilio-Signature 。

要验证Twilio发出的请求，您可以按照相同的过程创建签名，然后与Twilio发送的签名进行比较。 如果匹配，您可以保证Twilio发送请求。

这是它的高级视图，如果您想要阅读更多内容，包括创建签名的算法的完整描述，请查看Twilio的安全页面 。 如果您使用的是Python， Twilio Python库会提供RequestValidator来轻松验证请求 。

Answer 2

当特定的twilio号码收到消息时，将向与该号码相关联的SMS URL发出请求。 与消息体一起，Twilio将传递许多参数。 这里可以看到完整的参数列表。

现在，您可以检查传递的AccountSid是否已设置，并且与您的帐户Sid相同，以便快速验证。

如果您需要更高级别的可靠性，则可以使用MessageSid参数使用REST API查询Message资源，并在从REST API获取的请求和资源之间进行交叉检查。

（请参阅这里的twilio Message REST API ）