Twilio接收短信安全

Question

我在這里關注quickstart示例： Twilio Python快速入門

服務器應如何驗證請求實際來自twilio？

我正在看電話號碼配置屏幕， 這就是我所看到的。 我沒有看到IP白名單或指定twilio的auth憑證的方法。

似乎任何知道URL和響應格式的人都可以假裝是twilio。

謝謝您的幫助 ：）

Answer 1

Twilio開發者傳道者在這里。

我知道Akhil回答了這個問題（感謝Akhil！），你接受了答案。 然而，還有一個，可以說是更好的驗證請求來自Twilio的方法，我想與你分享。

當Twilio撥打您的SMS URL（或您已設置的任何其他URL）時，它將使用URL，請求中的參數和您帳戶的Auth Token的組合對請求進行簽名。 然后將簽名作為請求頭X-Twilio-Signature 。

要驗證Twilio發出的請求，您可以按照相同的過程創建簽名，然后與Twilio發送的簽名進行比較。 如果匹配，您可以保證Twilio發送請求。

這是它的高級視圖，如果您想要閱讀更多內容，包括創建簽名的算法的完整描述，請查看Twilio的安全頁面 。 如果您使用的是Python， Twilio Python庫會提供RequestValidator來輕松驗證請求 。

Answer 2

當特定的twilio號碼收到消息時，將向與該號碼相關聯的SMS URL發出請求。 與消息體一起，Twilio將傳遞許多參數。 這里可以看到完整的參數列表。

現在，您可以檢查傳遞的AccountSid是否已設置，並且與您的帳戶Sid相同，以便快速驗證。

如果您需要更高級別的可靠性，則可以使用MessageSid參數使用REST API查詢Message資源，並在從REST API獲取的請求和資源之間進行交叉檢查。

（請參閱這里的twilio Message REST API ）