"` |
| `requestContext.http` | 內含 HTTP 請求詳細資訊的物件。 | |
| `requestContext.http.method` | 此請求所採用的 HTTP 方法。有效值包括 `GET`、`POST`、`PUT`、`HEAD`、`OPTIONS`、`PATCH` 和 `DELETE`。 | `GET` |
| `requestContext.http.path` | 請求路徑。例如,如果請求 URL 為 `https://{url-id}.lambda-url.{region}.on.aws/example/test/demo`,則路徑值為 `/example/test/demo`。 | `/example/test/demo` |
| `requestContext.http.protocol` | 請求的通訊協定。 | `HTTP/1.1` |
| `requestContext.http.sourceIp` | 提出請求之即時 TCP 連線的來源 IP 地址。 | `123.123.123.123` |
| `requestContext.http.userAgent` | 使用者代理程式請求標頭的值。 | `Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) Gecko/20100101 Firefox/42.0` |
| `requestContext.requestId` | 呼叫請求的 ID。您可以使用此 ID 追蹤與函數相關的呼叫日誌。 | `e1506fd5-9e7b-434f-bd42-4f8fa224b599` |
| `requestContext.routeKey` | 函數 URL 不使用此參數。Lambda 將此設為 `$default` 作為預留位置使用。 | `$default` |
| `requestContext.stage` | 函數 URL 不使用此參數。Lambda 將此設為 `$default` 作為預留位置使用。 | `$default` |
| `requestContext.time` | 請求的時間戳記。 | `"07/Sep/2021:22:50:22 +0000"` |
| `requestContext.timeEpoch` | Unix epoch 時間格式的請求時間戳記。 | `"1631055022677"` |
| `body` | 請求的本文。如果請求的內容屬於二進位類型,則本文會採用 base64 編碼。 | `{"key1": "value1", "key2": "value2"}` |
| `pathParameters` | 函數 URL 不使用此參數。Lambda 將此設為 `null`,或將此從 JSON 排除。 | `null` |
| `isBase64Encoded` | 如果本文為二進位承載並採用 base64 編碼,此值為 `TRUE`,否則為 `FALSE`。 | `FALSE` |
| `stageVariables` | 函數 URL 不使用此參數。Lambda 將此設為 `null`,或將此從 JSON 排除。 | `null` |
### 回應承載格式
函數傳回回應時,Lambda 會剖析回應內容,並將其轉換為 HTTP 回應。函數回應承載的格式如下:
```
{
"statusCode": 201,
"headers": {
"Content-Type": "application/json",
"My-Custom-Header": "Custom Value"
},
"body": "{ \"message\": \"Hello, world!\" }",
"cookies": [
"Cookie_1=Value1; Expires=21 Oct 2021 07:48 GMT",
"Cookie_2=Value2; Max-Age=78000"
],
"isBase64Encoded": false
}
```
Lambda 會為您推斷回應格式。如果您的函數傳回有效的 JSON,但未傳回 `statusCode`,則 Lambda 會採取下列假設:
+ `statusCode`is(`200` )
**注意**
有效 `statusCode` 的範圍為 100 至 599。
+ `content-type`is(`application/json` )
+ `body` 是函數的回應。
+ `isBase64Encoded`is(`false` )
以下範例顯示 Lambda 函數輸出與回應承載之間的映射情形,以及回應承載與最終 HTTP 回應之間的映射情形。用戶端呼叫您的函數 URL 時,會看見 HTTP 回應。
**字串回應的輸出範例**
| Lambda 函數輸出 | 轉譯後的回應輸出 | HTTP 回應 (用戶端看見的內容) |
| --- | --- | --- |
| "Hello, world!"
| {
"statusCode": 200,
"body": "Hello, world!",
"headers": {
"content-type": "application/json"
},
"isBase64Encoded": false
} | HTTP/2 200
date: Wed, 08 Sep 2021 18:02:24 GMT
content-type: application/json
content-length: 15
"Hello, world!"
|
**JSON 回應的輸出範例**
| Lambda 函數輸出 | 轉譯後的回應輸出 | HTTP 回應 (用戶端看見的內容) |
| --- | --- | --- |
| {
"message": "Hello, world!"
} | {
"statusCode": 200,
"body": {
"message": "Hello, world!"
},
"headers": {
"content-type": "application/json"
},
"isBase64Encoded": false
} | HTTP/2 200
date: Wed, 08 Sep 2021 18:02:24 GMT
content-type: application/json
content-length: 34
{
"message": "Hello, world!"
}
|
**自訂回應的輸出範例**
| Lambda 函數輸出 | 轉譯後的回應輸出 | HTTP 回應 (用戶端看見的內容) |
| --- | --- | --- |
| {
"statusCode": 201,
"headers": {
"Content-Type": "application/json",
"My-Custom-Header": "Custom Value"
},
"body": JSON.stringify({
"message": "Hello, world!"
}),
"isBase64Encoded": false
} | {
"statusCode": 201,
"headers": {
"Content-Type": "application/json",
"My-Custom-Header": "Custom Value"
},
"body": JSON.stringify({
"message": "Hello, world!"
}),
"isBase64Encoded": false
} | HTTP/2 201
date: Wed, 08 Sep 2021 18:02:24 GMT
content-type: application/json
content-length: 27
my-custom-header: Custom Value
{
"message": "Hello, world!"
}
|
### Cookie
如要從函數傳回 Cookie,請勿手動新增 `set-cookie` 標頭。您應將 Cookie 加入回應承載物件中。Lambda 會自動轉譯 Cookie,並以 `set-cookie` 標頭形式新增至 HTTP 回應,如下所示。
| Lambda 函數輸出 | HTTP 回應 (用戶端看見的內容) |
| --- | --- |
| {
"statusCode": 201,
"headers": {
"Content-Type": "application/json",
"My-Custom-Header": "Custom Value"
},
"body": JSON.stringify({
"message": "Hello, world!"
}),
"cookies": [
"Cookie_1=Value1; Expires=21 Oct 2021 07:48 GMT",
"Cookie_2=Value2; Max-Age=78000"
],
"isBase64Encoded": false
} | HTTP/2 201
date: Wed, 08 Sep 2021 18:02:24 GMT
content-type: application/json
content-length: 27
my-custom-header: Custom Value
set-cookie: Cookie_1=Value2; Expires=21 Oct 2021 07:48 GMT
set-cookie: Cookie_2=Value2; Max-Age=78000
{
"message": "Hello, world!"
}
|
# 監控 Lambda 函數 URL
您可以使用 AWS CloudTrail 和 Amazon CloudWatch 監控函數 URL。
**Topics**
+ [
## 使用 CloudTrail 監控函數 URL
](#urls-cloudtrail)
+ [
## 函數 URL 的 CloudWatch 指標
](#urls-cloudwatch)
## 使用 CloudTrail 監控函數 URL
針對函數 URL,Lambda 能將下列 API 操作記錄為 CloudTrail 日誌檔案事件:
+ [CreateFunctionUrlConfig](https://docs.aws.amazon.com/lambda/latest/api/API_CreateFunctionUrlConfig.html)
+ [UpdateFunctionUrlConfig](https://docs.aws.amazon.com/lambda/latest/api/API_UpdateFunctionUrlConfig.html)
+ [DeleteFunctionUrlConfig](https://docs.aws.amazon.com/lambda/latest/api/API_DeleteFunctionUrlConfig.html)
+ [GetFunctionUrlConfig](https://docs.aws.amazon.com/lambda/latest/api/API_GetFunctionUrlConfig.html)
+ [ListFunctionUrlConfigs](https://docs.aws.amazon.com/lambda/latest/api/API_ListFunctionUrlConfigs.html)
每個日誌項目都包含呼叫者身分、提出請求的時間,以及其他詳細資訊等相關資訊。您可以檢視 CloudTrail **事件歷史記錄**,查看過去 90 天內的所有事件。如要保留 90 天前的記錄,您可以建立線索。
預設情況下,CloudTrail 不會記錄 `InvokeFunctionUrl` 請求,系統會將這些請求視為資料事件。不過,您可以在 CloudTrail 中開啟資料事件記錄功能。如需詳細資訊,請參閱《AWS CloudTrail使用者指南》**中的[記錄資料事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html)。
## 函數 URL 的 CloudWatch 指標
Lambda 會將函數 URL 請求的彙總指標傳送到 CloudWatch。透過這些指標,您可以在 CloudWatch 主控台中監控函數 URL、建置儀錶板及設定警示。
函數 URL 支援以下呼叫指標。建議您搭配 `Sum` 統計數字一併檢視這些指標。
+ `UrlRequestCount` – 對此函數提出的請求數量。
+ `Url4xxCount` – 傳回 4XX HTTP 狀態碼的請求數量。收到 4XX 系列代碼表示用戶端發生錯誤,例如請求錯誤。
+ `Url5xxCount` – 傳回 5XX HTTP 狀態碼的請求數量。收到 5XX 系列代碼表示伺服器端發生錯誤,例如函數錯誤和逾時。
函數 URL 也支援以下效能指標。建議您搭配 `Average` 或 `Max` 統計數字一併檢視這些指標。
+ `UrlRequestLatency` – 函數 URL 從收到請求到傳回回應所經過的時間。
這些呼叫和效能指標均支援以下維度:
+ `FunctionName` – 針對指派給函數`$LATEST`未發佈版本或任何函數別名的函數 URL,查看其彙總指標,例如 `hello-world-function`。
+ `Resource` – 檢視特定函數 URL 的指標。您可使用函數名稱,並搭配函數未發佈的`$LATEST`版本或任一函數別名來加以定義,例如 `hello-world-function:$LATEST`。
+ `ExecutedVersion` – 根據所執行的版本檢視特定函數 URL 的指標。此維度的主要功能是追蹤指派給`$LATEST`未發佈版本的函數 URL。
# 選取一種使用 HTTP 請求調用 Lambda 函數的方法
Lambda 的許多常見使用案例涉及使用 HTTP 請求調用您的函數。例如,您可能希望 Web 應用程式透過瀏覽器請求調用您的函式。Lambda 函式也可用於建立完整的 REST API、處理來自行動應用程式的使用者互動、透過 HTTP 呼叫處理來自外部服務的資料,或建立自訂 Webhook。
以下各節說明透過 HTTP 調用 Lambda 的選擇,並提供資訊以協助您針對特定使用案例做出正確決策。
## 選取 HTTP 調用方法時,您有哪些選擇?
Lambda 提供兩種主要方法來使用 HTTP 請求調用函數 - [函數 URL](urls-configuration.md) 和 [API Gateway](services-apigateway.md)。這兩種選項的主要差異如下所示:
+ **Lambda 函數 URL** 可為 Lambda 函數提供簡單、直接的 HTTP 端點。已針對簡單性和成本效益對其進行最佳化,並提供透過 HTTP 公開 Lambda 函數的最快路徑。
+ **API Gateway** 是一種更進階的服務,用於建置功能完整的 API。API Gateway 已針對大規模建置和管理生產 API 進行最佳化,並提供完整的安全、監控和流量管理工具。
## 您已知道自己需求時的建議
如果您已經清楚自己的需求,以下是基本建議:
建議**[函數 URL](urls-configuration.md)** 用於簡單的應用程式或原型設計,其中您只需要基本的身分驗證方法和請求/回應處理,並想要將成本和複雜性降至最低。
**[API Gateway](services-apigateway.md)** 是大規模生產應用程式或需要更進階功能的情況的更佳選擇,例如 [OpenAPI Description](https://www.openapis.org/) 支援、身分驗證選項、自訂網域名稱或豐富的請求/回應處理,包括限流、快取和請求/回應轉換。
## 選擇調用 Lambda 函數的方法時應考慮的事項
在函數 URL 和 API Gateway 之間選取時,需要考慮下列因素:
+ 您的身分驗證需要,例如是否需要 OAuth 或 Amazon Cognito 來驗證使用者
+ 您的擴展需求以及您要實作之 API 的複雜性
+ 您是否需要進階功能,例如請求驗證和請求/回應格式化
+ 您的監控需求
+ 您的成本目標
透過了解這些因素,可以選擇最能平衡您的安全性、複雜性和成本需求的選項。
下列資訊摘要說明兩個選項之間的主要差異。
### 身分驗證
+ **函數 URLs**提供基本身分驗證選項。 AWS Identity and Access Management 可以將端點設定為公有 (無身分驗證) 或需要 IAM 身分驗證。透過 IAM 身分驗證,您可以使用標準 AWS 登入資料或 IAM 角色來控制存取。雖然設定簡單,但相較於其他驗證方法,此方法提供的選項有限。
+ **API Gateway** 可存取更全面的身分驗證選項。除了 IAM 身分驗證之外,也可以使用 [Lambda 授權工具](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-use-lambda-authorizer.html) (自訂身分驗證邏輯)、[Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/what-is-amazon-cognito.html) 使用者集區和 OAuth2.0 流程。此彈性可讓您實作複雜的身分驗證機制,包括第三方身分驗證提供者、權杖型身分驗證和多重要素身分驗證。
### 請求/回應處理
+ **函數 URL** 提供基本的 HTTP 請求和回應處理。它們支援標準 HTTP 方法,並包含內建的跨來源資源共用 (CORS) 支援。雖然他們可以自然處理 JSON 承載和查詢參數,但它們不提供請求轉換或驗證功能。回應處理同樣簡單 – 用戶端接收來自 Lambda 函數的回應,就像 Lambda 傳回它一樣。
+ **API Gateway** 可提供複雜的請求和回應處理功能。您可以定義請求驗證器,使用映射範本轉換請求和回應,設定請求/回應標頭,以及實作回應快取。API Gateway 也支援二進位承載和自訂網域名稱,並且可以在回應到達用戶端之前對其進行修改。可以使用 JSON 結構描述來設定請求/回應驗證和轉換的模型。
### 擴展
+ **函數 URL** 會根據 Lambda 函數的並行限制直接擴展,並透過將函數擴展到其設定的並行限制上限來處理流量尖峰。達到該限制後,Lambda 會使用 HTTP 429 回應來回應其他請求。沒有內建佇列機制,因此處理擴展完全取決於 Lambda 函數的組態。根據預設,Lambda 函數每個 有 1,000 個並行執行的限制 AWS 區域。
+ 除了 Lambda 自己的擴展之外,**API Gateway** 還提供其他擴展功能。它包含內建的請求佇列和限流控制,可讓您更輕鬆地管理流量尖峰。根據預設,API Gateway 每秒最多可以處理 10,000 個請求,高載容量為每秒 5,000 個請求。它也提供在不同層級調節請求的工具 (API、階段或方法),以保護後端。
### 監控
+ **函數 URL** 透過 Amazon CloudWatch 指標提供基本監控,包括請求計數、延遲和錯誤率。可以存取標準 Lambda 指標和日誌,它們會顯示傳入函數的原始請求。雖然這可提供基本的操作可見性,但指標主要著重於函數執行。
+ **API Gateway** 提供全面的監控功能,包括詳細的指標、記錄和追蹤選項。可以透過 CloudWatch 來監控 API 呼叫、延遲、錯誤率和快取命中率/遺失率。API Gateway 也會整合 與 AWS X-Ray 以進行分散式追蹤,並提供可自訂的記錄格式。
### Cost
+ **函數 URL** 遵循標準 Lambda 定價模型 – 您只需支付函數調用和運算時間的費用。URL 端點本身不收取額外費用。如果您不需要 API Gateway 的其他功能,這對於簡單的 API 或低流量應用程式而言是一個具成本效益的選擇。
+ **API Gateway** 提供[免費方案](https://aws.amazon.com/api-gateway/pricing/#Free_Tier),其中包含針對 REST API 收到的一百萬個 API 呼叫,以及針對 HTTP API 收到的一百萬個 API 呼叫。之後,API Gateway 會針對 API 呼叫、資料傳輸和快取 (如果啟用) 收取費用。請參閱 API Gateway [定價頁面](https://aws.amazon.com/api-gateway/pricing/),了解您自己的使用案例費用。
### 其他功能
+ **函數 URL** 旨在實現簡便性和直接 Lambda 整合。它們支援 HTTP 和 HTTPS 端點,提供內建 CORS 支援,並提供雙堆疊 (IPv4 和 IPv6) 端點。雖然它們缺乏進階功能,但它們在您需要快速、直接地透過 HTTP 公開 Lambda 函數時表現卓越。
+ **API Gateway** 包含許多其他功能,例如 API 版本控制、階段管理、用於用量計劃的 API 金鑰、透過 Swagger/OpenAPI 的 API 文件、WebSocket API、VPC 中的私有 API 以及 WAF 整合,以提供額外的安全性。它還支援 Canary 部署、用於測試的模擬整合,以及與 Lambda AWS 服務 以外的其他 整合。
## 選取調用 Lambda 函數的方法
現在您已了解在 Lambda 函數 URL 和 API Gateway 之間進行選擇的條件,以及它們之間的主要差異,您可以選擇最符合您需求的選項,並使用下列資源來協助您開始使用。
------
#### [ Function URLs ]
**使用下列資源開始使用函數 URL**
+ 遵循教學課程[建立具有函數 URL 的 Lambda 函數](urls-webhook-tutorial.md)
+ 在本指南的 [建立及管理 Lambda 函數 URL](urls-configuration.md) 章節中進一步了解 函數 URL
+ 透過執行以下操作,嘗試主控台內的引導式教學課程**建立簡單的 Web 應用程式**:
1. 開啟 Lambda 主控台中的[函數頁面](https://console.aws.amazon.com/lambda/home#/functions)。
1. 選擇畫面右上角的圖示以開啟說明面板。
![\[\]](http://docs.aws.amazon.com/zh_tw/lambda/latest/dg/images/console_help_screenshot.png)
1. 選取**教學課程**。
1. 在**建立簡單的 Web 應用程式中**,選擇**開始教學課程**。
------
#### [ API Gateway ]
**使用下列資源開始使用 Lambda 和 API Gateway**
+ 依照教學課程[搭配使用 Lambda 與 API Gateway](services-apigateway-tutorial.md) 來建立與後端 Lambda 函數整合的 REST API。
+ 在 *Amazon API Gateway 開發人員指南*的下列章節中,進一步了解 API Gateway 提供的不同類型 API:
+ [API Gateway REST API](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-rest-api.html)
+ [API Gateway HTTP API](https://docs.aws.amazon.com/apigateway/latest/developerguide/http-api.html)
+ [API Gateway WebSocket API](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-websocket-api.html)
+ 請嘗試 *Amazon API Gateway 開發人員指南*的[教學課程和研討會](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-tutorials.html)一節中的一個或多個範例。
------
# 教學課程:使用 Lambda 函式 URL 建立 Webhook 端點
在本教學課程中,您將建立 Lambda 函式 URL 來實作 Webhook 端點。Webhook 是一種輕量型的事件驅動型通訊機制,能透過 HTTP 自動在應用程式間傳輸資料。您可以使用 Webhook 來接收有關其他系統中發生事件的即時更新,例如當新客戶在網站上註冊、處理付款或上傳檔案時。
使用 Lambda 時,可以透過 Lambda 函式 URL 或 API Gateway 來實作 Webhook。對於不需要進階授權或請求驗證等功能的簡單 Webhook,函式 URL 是很好的選擇。
**提示**
如果您不確定哪種解決方案最適合特定使用案例,請參閱[選取一種使用 HTTP 請求調用 Lambda 函數的方法](furls-http-invoke-decision.md)。
## 先決條件
要完成本教學課程,必須在本機電腦上安裝 Python (3.8 版或更新版本) 或 Node.js (18 版或更新版本)。
為了使用 HTTP 請求測試端點,本教學課程使用了 [curl](https://curl.se/)。這是一個命令列工具,能透過多種網路通訊協定來傳輸資料。若尚未安裝此工具,請參閱 [curl 文件](https://curl.se/docs/install.html)了解安裝方法。
## 建立 Lambda 函式
首先建立當 HTTP 請求傳送至 Webhook 端點時執行的 Lambda 函式。在此範例中,傳送端應用程式會在付款提交時傳送更新,並在 HTTP 請求內文中指出付款是否成功。Lambda 函式會剖析請求,再依據付款狀態採取動作。在此範例中,程式碼僅會列印付款的訂單 ID,但在實際應用程式中,您可以將訂單新增至資料庫或傳送通知。
函式還實作了 Webhook 最常用的身分驗證方法,即雜湊訊息驗證碼 (HMAC)。使用此方法時,傳送端與接收端應用程式皆會共用一個秘密金鑰。傳送端應用程式使用雜湊演算法,利用此金鑰和訊息內容產生唯一簽章,並將該簽章作為 HTTP 標頭包含在 Webhook 請求中。然後,接收端應用程式會重複此步驟,使用秘密金鑰產生簽章,並將結果值與請求標頭中傳送的簽章進行比較。如果結果相符,請求會視為合法。
使用 Lambda 主控台並選擇 Python 或 Node.js 執行時期來建立函式。
------
#### [ Python ]
**建立 Lambda 函式**
1. 開啟 Lambda 主控台中的[函數頁面](https://console.aws.amazon.com/lambda/home#/functions)。
1. 執行下列動作,建立基本的 'Hello world' 函式:
1. 選擇 **Create function (建立函數)**。
1. 選取**從頭開始撰寫**。
1. 針對**函數名稱**,請輸入 **myLambdaWebhook**。
1. 針對**執行期**,選取 **python3.14**。
1. 選擇 **Create function (建立函數)**。
1. 在**程式碼來源**窗格中,複製並貼上以下項目來取代現有程式碼:
```
import json
import hmac
import hashlib
import os
def lambda_handler(event, context):
# Get the webhook secret from environment variables
webhook_secret = os.environ['WEBHOOK_SECRET']
# Verify the webhook signature
if not verify_signature(event, webhook_secret):
return {
'statusCode': 401,
'body': json.dumps({'error': 'Invalid signature'})
}
try:
# Parse the webhook payload
payload = json.loads(event['body'])
# Handle different event types
event_type = payload.get('type')
if event_type == 'payment.success':
# Handle successful payment
order_id = payload.get('orderId')
print(f"Processing successful payment for order {order_id}")
# Add your business logic here
# For example, update database, send notifications, etc.
elif event_type == 'payment.failed':
# Handle failed payment
order_id = payload.get('orderId')
print(f"Processing failed payment for order {order_id}")
# Add your business logic here
else:
print(f"Received unhandled event type: {event_type}")
# Return success response
return {
'statusCode': 200,
'body': json.dumps({'received': True})
}
except json.JSONDecodeError:
return {
'statusCode': 400,
'body': json.dumps({'error': 'Invalid JSON payload'})
}
except Exception as e:
print(f"Error processing webhook: {e}")
return {
'statusCode': 500,
'body': json.dumps({'error': 'Internal server error'})
}
def verify_signature(event, webhook_secret):
"""
Verify the webhook signature using HMAC
"""
try:
# Get the signature from headers
signature = event['headers'].get('x-webhook-signature')
if not signature:
print("Error: Missing webhook signature in headers")
return False
# Get the raw body (return an empty string if the body key doesn't exist)
body = event.get('body', '')
# Create HMAC using the secret key
expected_signature = hmac.new(
webhook_secret.encode('utf-8'),
body.encode('utf-8'),
hashlib.sha256
).hexdigest()
# Compare the expected signature with the received signature to authenticate the message
is_valid = hmac.compare_digest(signature, expected_signature)
if not is_valid:
print(f"Error: Invalid signature. Received: {signature}, Expected: {expected_signature}")
return False
return True
except Exception as e:
print(f"Error verifying signature: {e}")
return False
```
1. 在 **DEPLOY** 區段中,選擇**部署**以更新函數的程式碼。
------
#### [ Node.js ]
**建立 Lambda 函式**
1. 開啟 Lambda 主控台中的[函數頁面](https://console.aws.amazon.com/lambda/home#/functions)。
1. 執行下列動作,建立基本的 'Hello world' 函式:
1. 選擇 **Create function (建立函數)**。
1. 選取**從頭開始撰寫**。
1. 針對**函數名稱**,請輸入 **myLambdaWebhook**。
1. 針對**執行期**,選取 **nodejs24.x。**
1. 選擇 **Create function (建立函數)**。
1. 在**程式碼來源**窗格中,複製並貼上以下項目來取代現有程式碼:
```
import crypto from 'crypto';
export const handler = async (event, context) => {
// Get the webhook secret from environment variables
const webhookSecret = process.env.WEBHOOK_SECRET;
// Verify the webhook signature
if (!verifySignature(event, webhookSecret)) {
return {
statusCode: 401,
body: JSON.stringify({ error: 'Invalid signature' })
};
}
try {
// Parse the webhook payload
const payload = JSON.parse(event.body);
// Handle different event types
const eventType = payload.type;
switch (eventType) {
case 'payment.success': {
// Handle successful payment
const orderId = payload.orderId;
console.log(`Processing successful payment for order ${orderId}`);
// Add your business logic here
// For example, update database, send notifications, etc.
break;
}
case 'payment.failed': {
// Handle failed payment
const orderId = payload.orderId;
console.log(`Processing failed payment for order ${orderId}`);
// Add your business logic here
break;
}
default:
console.log(`Received unhandled event type: ${eventType}`);
}
// Return success response
return {
statusCode: 200,
body: JSON.stringify({ received: true })
};
} catch (error) {
if (error instanceof SyntaxError) {
// Handle JSON parsing errors
return {
statusCode: 400,
body: JSON.stringify({ error: 'Invalid JSON payload' })
};
}
// Handle all other errors
console.error('Error processing webhook:', error);
return {
statusCode: 500,
body: JSON.stringify({ error: 'Internal server error' })
};
}
};
// Verify the webhook signature using HMAC
const verifySignature = (event, webhookSecret) => {
try {
// Get the signature from headers
const signature = event.headers['x-webhook-signature'];
if (!signature) {
console.log('No signature found in headers:', event.headers);
return false;
}
// Get the raw body (return an empty string if the body key doesn't exist)
const body = event.body || '';
// Create HMAC using the secret key
const hmac = crypto.createHmac('sha256', webhookSecret);
const expectedSignature = hmac.update(body).digest('hex');
// Compare expected and received signatures
const isValid = signature === expectedSignature;
if (!isValid) {
console.log(`Invalid signature. Received: ${signature}, Expected: ${expectedSignature}`);
return false;
}
return true;
} catch (error) {
console.error('Error during signature verification:', error);
return false;
}
};
```
1. 在 **DEPLOY** 區段中,選擇**部署**以更新函數的程式碼。
------
## 建立秘密金鑰
Lambda 函式若要驗證 Webhook 請求,會使用一個與呼叫應用程式共用的秘密金鑰。在此範例中,金鑰存放在環境變數中。但在生產應用程式中,請勿在函數程式碼中包含密碼等敏感資訊。反之,[請建立 AWS Secrets Manager 秘密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html),[然後使用 AWS 參數和秘密 Lambda 延伸](with-secrets-manager.md)來擷取 Lambda 函數中的登入資料。
**建立並儲存 Webhook 秘密金鑰**
1. 使用密碼編譯安全的隨機數字產生器,產生一個長的隨機字串。您可以使用下列以 Python 或 Node.js 編寫的程式碼片段來生成並列印 32 字元的秘密,也可以使用自己慣用的方法。
------
#### [ Python ]
**Example 產生秘密的程式碼**
```
import secrets
webhook_secret = secrets.token_urlsafe(32)
print(webhook_secret)
```
------
#### [ Node.js ]
**Example 產生秘密的程式碼 (ES 模組格式)**
```
import crypto from 'crypto';
let webhookSecret = crypto.randomBytes(32).toString('base64');
console.log(webhookSecret)
```
------
1. 執行下列動作,將產生的字串儲存為函式的環境變數:
1. 在函式的**組態**索引標籤中,選取**環境變數**。
1. 選擇**編輯**。
1. 選擇 **Add environment variable** (新增環境變數)。
1. 在**金鑰**欄位中,輸入 **WEBHOOK\$1SECRET**;接著在**值**欄位中,輸入上一個步驟中產生的秘密。
1. 選擇**儲存**。
本教學課程後續將再次用到此金鑰來測試函式,因此請立即記錄下來。
## 建立函式 URL 端點
使用 Lambda 函式 URL 為 Webhook 建立端點。由於您使用身分驗證類型 `NONE` 來建立具有公有存取權的端點,因此任何擁有 URL 的使用者都可以調用函式。若要進一步了解如何控制函式 URL 的存取權,請參閱[控制對 Lambda 函數 URL 的存取](urls-auth.md)。如果 Webhook 需要更進階的身分驗證選項,建議採用 API Gateway。
**建立函式 URL 端點**
1. 在函式的**組態**索引標籤中,選取**函式 URL**。
1. 選擇 **Create function URL** (建立函數 URL)。
1. 在**身分驗證類型**欄位中,選取 **NONE**。
1. 選擇**儲存**。
剛剛建立的函式 URL 端點會顯示在**函式 URL** 窗格中。複製端點,在教學課程後續部分使用。
## 在主控台中測試函式
在透過 URL 端點使用 HTTP 請求調用函式之前,請先在主控台中測試,確認程式碼如預期運作。
若要在主控台中驗證函式,需先使用之前在教學課程中產生的秘密,搭配以下測試用 JSON 承載資料計算 Webhook 簽章:
```
{
"type": "payment.success",
"orderId": "1234",
"amount": "99.99"
}
```
利用下列其中一個以 Python 或 Node.js 編寫的程式碼範例,並使用您自己的秘密來計算 Webhook 簽章。
------
#### [ Python ]
**計算 Webhook 簽章**
1. 將下列程式碼儲存為名為 `calculate_signature.py` 的檔案。將程式碼中的 Webhook 秘密取代為您自己的值。
```
import secrets
import hmac
import json
import hashlib
webhook_secret = "arlbSDCP86n_1H90s0fL_Qb2NAHBIBQOyGI0X4Zay4M"
body = json.dumps({"type": "payment.success", "orderId": "1234", "amount": "99.99"})
signature = hmac.new(
webhook_secret.encode('utf-8'),
body.encode('utf-8'),
hashlib.sha256
).hexdigest()
print(signature)
```
1. 從儲存程式碼的同一目錄中執行下列命令來計算簽章。複製程式碼輸出的簽章。
```
python calculate_signature.py
```
------
#### [ Node.js ]
**計算 Webhook 簽章**
1. 將下列程式碼儲存為名為 `calculate_signature.mjs` 的檔案。將程式碼中的 Webhook 秘密取代為您自己的值。
```
import crypto from 'crypto';
const webhookSecret = "arlbSDCP86n_1H90s0fL_Qb2NAHBIBQOyGI0X4Zay4M"
const body = "{\"type\": \"payment.success\", \"orderId\": \"1234\", \"amount\": \"99.99\"}";
let hmac = crypto.createHmac('sha256', webhookSecret);
let signature = hmac.update(body).digest('hex');
console.log(signature);
```
1. 從儲存程式碼的同一目錄中執行下列命令來計算簽章。複製程式碼輸出的簽章。
```
node calculate_signature.mjs
```
------
現在,您可以在主控台中使用測試 HTTP 請求來測試函式程式碼。
**在主控台中測試函式**
1. 選取函式的**程式碼**索引標籤。
1. 在**測試事件**區段中,選擇**建立新測試事件**
1. **Event Name (事件名稱)** 輸入 **myEvent**。
1. 將下列項目複製並貼入**事件 JSON** 窗格中,取代現有的 JSON。將 Webhook 簽章取代為在上一個步驟中計算得出的值。
```
{
"headers": {
"Content-Type": "application/json",
"x-webhook-signature": "2d672e7a0423fab740fbc040e801d1241f2df32d2ffd8989617a599486553e2a"
},
"body": "{\"type\": \"payment.success\", \"orderId\": \"1234\", \"amount\": \"99.99\"}"
}
```
1. 選擇**儲存**。
1. 選擇**調用**。
您應該會看到類似下列的輸出:
------
#### [ Python ]
```
Status: Succeeded
Test Event Name: myEvent
Response:
{
"statusCode": 200,
"body": "{\"received\": true}"
}
Function Logs:
START RequestId: 50cc0788-d70e-453a-9a22-ceaa210e8ac6 Version: $LATEST
Processing successful payment for order 1234
END RequestId: 50cc0788-d70e-453a-9a22-ceaa210e8ac6
REPORT RequestId: 50cc0788-d70e-453a-9a22-ceaa210e8ac6 Duration: 1.55 ms Billed Duration: 2 ms Memory Size: 128 MB Max Memory Used: 36 MB Init Duration: 136.32 ms
```
------
#### [ Node.js ]
```
Status: Succeeded
Test Event Name: myEvent
Response:
{
"statusCode": 200,
"body": "{\"received\":true}"
}
Function Logs:
START RequestId: e54fe6c7-1df9-4f05-a4c4-0f71cacd64f4 Version: $LATEST
2025-01-10T18:05:42.062Z e54fe6c7-1df9-4f05-a4c4-0f71cacd64f4 INFO Processing successful payment for order 1234
END RequestId: e54fe6c7-1df9-4f05-a4c4-0f71cacd64f4
REPORT RequestId: e54fe6c7-1df9-4f05-a4c4-0f71cacd64f4 Duration: 60.10 ms Billed Duration: 61 ms Memory Size: 128 MB Max Memory Used: 72 MB Init Duration: 174.46 ms
Request ID: e54fe6c7-1df9-4f05-a4c4-0f71cacd64f4
```
------
## 使用 HTTP 請求測試函式
使用 curl 命令列工具來測試 Webhook 端點。
**使用 HTTP 請求測試函式**
1. 在終端或 Shell 程式中,執行下列 curl 命令。將 URL 取代為您自己的函式 URL 端點的值,並將 Webhook 簽章取代為您使用自己的秘密金鑰計算得出的簽章。
```
curl -X POST https://ryqgmbx5xjzxahif6frvzikpre0bpvpf.lambda-url.us-west-2.on.aws/ \
-H "Content-Type: application/json" \
-H "x-webhook-signature: d5f52b76ffba65ff60ea73da67bdf1fc5825d4db56b5d3ffa0b64b7cb85ef48b" \
-d '{"type": "payment.success", "orderId": "1234", "amount": "99.99"}'
```
您應該會看到下列輸出:
```
{"received": true}
```
1. 執行下列動作,檢查函式的 CloudWatch 日誌,確認其正確剖析了承載:
1. 在 Amazon CloudWatch 主控台中,開啟[日誌群組](https://console.aws.amazon.com/cloudwatch/home#logsV2:log-groups)頁面。
1. 選取函式的日誌群組 (`/aws/lambda/myLambdaWebhook`)。
1. 選取最新的日誌串流。
您應該會在函式日誌中看到類似如下的輸出:
------
#### [ Python ]
```
Processing successful payment for order 1234
```
------
#### [ Node.js ]
```
2025-01-10T18:05:42.062Z e54fe6c7-1df9-4f05-a4c4-0f71cacd64f4 INFO Processing successful payment for order 1234
```
------
1. 執行下列 curl 命令,確認程式碼偵測到無效的簽章。將 URL 取代為您自己的函式 URL 端點。
```
curl -X POST https://ryqgmbx5xjzxahif6frvzikpre0bpvpf.lambda-url.us-west-2.on.aws/ \
-H "Content-Type: application/json" \
-H "x-webhook-signature: abcdefg" \
-d '{"type": "payment.success", "orderId": "1234", "amount": "99.99"}'
```
您應該會看到下列輸出:
```
{"error": "Invalid signature"}
```
## 清除您的資源
除非您想要保留為此教學課程建立的資源,否則您現在便可刪除。透過刪除您不再使用 AWS 的資源,您可以避免不必要的 費用 AWS 帳戶。
**若要刪除 Lambda 函數**
1. 開啟 Lambda 主控台中的 [函數頁面](https://console.aws.amazon.com/lambda/home#/functions)。
1. 選擇您建立的函數。
1. 選擇 **Actions** (動作)、**Delete** (刪除)。
1. 在文字輸入欄位中輸入 **confirm**,然後選擇**刪除**。
當您在主控台中建立 Lambda 函式時,Lambda 也會為函式建立[執行角色](lambda-intro-execution-role.md)。
**刪除執行角色**
1. 開啟 IAM 主控台中的 [角色頁面](https://console.aws.amazon.com/iam/home#/roles) 。
1. 選取 Lambda 建立的執行角色。角色名稱具有格式 `myLambdaWebhook-role-`。
1. 選擇 **刪除**。
1. 在文字輸入欄位中輸入角色的名稱,然後選擇**刪除**。