我正在编写一些Java REST API,它们将通过JIRA管理控制台配置的Web Hook调用。但是,在JIRA中配置Web挂钩时,我没有看到任何添加身份验证标头的方法。
如果没有标头,就会出现安全问题,因为任何人都可以调用我的Java REST API。
有人可以在这里建议如何在Web钩子中添加自定义标头可能的一些例子。我已经阅读了Atlassian develper文档,但在那里找不到任何解决方案。
将用户名和密码添加到Jira Cloud webhook URL,例如
http://user:[email protected]
不幸的是,Jira Cloud忽略了它。似乎其他Atlassian产品确实提供了为基本身份验证设置标头/提供用户名和密码的功能。
另见:
你基本上有两个选择:
将Atlassian服务器IPS添加到白名单也是有意义的:
虽然它不能完全消除攻击媒介,因为攻击也可能来自另一个Jira云环境。
不支持在JIRA webhook配置中添加额外的标头。因此,无法在webhook配置中添加身份验证标头。要进行身份验证,一种方法是1)从传入的JSON中检索用户信息2)进行JIRA REST API调用以检查用户的真实性3)拒绝或允许基于结果的进一步处理