Webhooks

Mit Webhooks (zusammengesetzt aus „Web“ und „Hook“, zu deutsch etwa Web-Haken) wird ein nicht-standardisiertes Verfahren zur Kommunikation von Servern bezeichnet, das im Rahmen des verteilten Rechnens oder der Nachrichtenorientierten Middleware genutzt wird. Webhooks ermöglichen es, einer Server-Software mitzuteilen, dass ein bestimmtes Ereignis eingetreten ist und eine Reaktion auf das Ereignis auszulösen. Wenn eine Anwendung über ein eingetretenes Ereignis mittels Webhook informiert, müssen an dem Ereignis interessierte andere Anwendungen kein Polling betreiben, um von dem Ereignis Kenntnis zu erlangen. Das reduziert das Nachrichtenaufkommen zwischen den Anwendungen.

Webhooks finden als einfaches Callback-Verfahren Verwendung zur Daten-Synchronisation, externen Berechnung und zur Daten-Validierung. Technisch wird dazu eine HTTP-POST-Message an eine dafür vorbereitete URL gesendet, welche die angeforderten Daten zurückliefert.^[1] Im Gegensatz zu SOAP wird keine zusätzliche Transportschicht verwendet, im Unterschied zum Atom Syndication Format sind Webhooks nicht auf das XML-Format festgelegt.

Authentifizierung

Sobald der Client (die Ursprungswebseite- oder Applikation) einen Webhook-Aufruf in Richtung des Benutzerservers auslöst, sollte die eingehende POST-Anfrage authetifiziert werden, um Spoofing-Attacken zu verhindern. Ebenso sollte der Timestamp verifiziert werden, um eine Replay-Attacke auszuschließen.^[2] Um dies sicherzustellen, gibt es verschiedene Methoden:

HTTP Basic Authetication: Kann für die Authentifizierung des Clients verwendet werden.^[3]
Für die Verifizierung des Webhooks, kann dieser Informationen, wie ein Shared Secret, Digitale Signaturen oder den Typen des Events enthalten.^[4]
Eine HMAC-Signatur kann als HTTP-Header eingefügt werden.^[5]

Anwendungsbeispiele

Event-Notification (Benachrichtigung): Mitteilung, dass ein bestimmtes Event eingetreten ist
Pipes: Weiterleitung von Daten. Beispielsweise erhält ein Nutzer eine E-Mail-Benachrichtigung, wenn ein Foto zu einem bestimmten Thema hochgeladen wird.
Plugins: Schnittstelle zur Kommunikation einer Webseite mit Plugins oder Apps.

Anwendungen

Webhooks werden unter anderem verwendet von^[1]

Cisco Webex Teams (früher Cisco Spark)
Cisco Meraki
Cloudvox
Discord
DRACOON^[6]
Facebook
Google Code

Spezifikationen

Derzeit existiert kein Standard zur Implementierung. Es werden Möglichkeiten einer Spezifikation auf Basis von REST-Mustern diskutiert.

Einzelnachweise

↑ ^a ^b Web Hooks Wiki (Memento vom 13. April 2012 im Internet Archive)
↑ Why Verify Webhooks | Svix Docs. Abgerufen am 9. Februar 2025 (englisch).
↑ Docusign Connect Now Includes Basic Authentication Support. Abgerufen am 9. Februar 2025 (englisch).
↑ Shared Secret - Docs. Abgerufen am 9. Februar 2025 (englisch).
↑ How to Secure Webhook Endpoints with HMAC. Abgerufen am 9. Februar 2025 (englisch).
↑ https://dracoon.com
↑ GitHub Developer Webhooks API. Abgerufen am 8. Januar 2018.
↑ IFTTT Webhook. Abgerufen am 8. Januar 2018.
↑ Telegram BotAPI WebHooks. Abgerufen am 8. Januar 2018.
↑ WordPress WebHooks. Abgerufen am 8. Januar 2018.
↑ https://webhook.center/

Weblinks

[webhooks-1] Web Hooks Wiki (Memento vom 13. April 2012 im Internet Archive)

[2] Why Verify Webhooks | Svix Docs. Abgerufen am 9. Februar 2025 (englisch).

[3] Docusign Connect Now Includes Basic Authentication Support. Abgerufen am 9. Februar 2025 (englisch).

[4] Shared Secret - Docs. Abgerufen am 9. Februar 2025 (englisch).

[5] How to Secure Webhook Endpoints with HMAC. Abgerufen am 9. Februar 2025 (englisch).

[6] ttps://dracoon.com

[github_developer_webhooks-7] GitHub Developer Webhooks API. Abgerufen am 8. Januar 2018.

[IFTTT_Webhook-8] IFTTT Webhook. Abgerufen am 8. Januar 2018.

[telegram_bot_api_webhooks_access-9] Telegram BotAPI WebHooks. Abgerufen am 8. Januar 2018.

[wordpress_webhooks-10] WordPress WebHooks. Abgerufen am 8. Januar 2018.

[11] ttps://webhook.center/

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

Seitenversionsstatus

Inhaltsverzeichnis