Webhook

Mit Webhooks (zusammengesetzt aus englisch Web ‚Netz‘ und englisch Hook ‚Haken‘, zu deutsch etwa ‚Netz-Haken‘) wird ein nicht-standardisiertes Verfahren zur Kommunikation von Servern bezeichnet, das im Rahmen des verteilten Rechnens oder der Nachrichtenorientierten Middleware genutzt wird. Webhooks ermöglichen es, einer Server-Software mitzuteilen, dass ein bestimmtes Ereignis eingetreten ist und eine Reaktion auf das Ereignis auszulösen. Wenn eine Anwendung über ein eingetretenes Ereignis mittels Webhook informiert, müssen an dem Ereignis interessierte andere Anwendungen kein Polling betreiben, um von dem Ereignis Kenntnis zu erlangen. Das reduziert das Nachrichtenaufkommen zwischen den Anwendungen.

Webhooks finden als einfaches Callback-Verfahren Verwendung zur Daten-Synchronisation, externen Berechnung und zur Datenvalidierung. Technisch wird dazu eine HTTP-POST-Message an eine dafür vorbereitete URL gesendet, welche die angeforderten Daten zurückliefert.^[1] Im Gegensatz zu SOAP wird keine zusätzliche Transportschicht verwendet, im Unterschied zum Atom Syndication Format sind Webhooks nicht auf das XML-Format festgelegt.

Sobald der Client (die Ursprungswebseite- oder Applikation) einen Webhook-Aufruf in Richtung des Benutzerservers auslöst, sollte die eingehende POST-Anfrage authentifiziert werden, um Spoofing-Attacken zu verhindern. Ebenso sollte der Timestamp verifiziert werden, um eine Replay-Attacke auszuschließen.^[2] Um dies sicherzustellen, gibt es verschiedene Methoden:

• HTTP Basic Authentication: Kann für die Authentifizierung des Clients verwendet werden.^[3]
• Für die Verifizierung des Webhooks, kann dieser Informationen, wie ein Shared Secret, Digitale Signaturen oder den Typen des Events enthalten.^[4]
• Eine HMAC-Signatur kann als HTTP-Header eingefügt werden.^[5]

• Event-Notification (Benachrichtigung): Mitteilung, dass ein bestimmtes Event eingetreten ist
• Pipes: Weiterleitung von Daten. Beispielsweise erhält ein Nutzer eine E-Mail-Benachrichtigung, wenn ein Foto zu einem bestimmten Thema hochgeladen wird.
• Plugins: Schnittstelle zur Kommunikation einer Webseite mit Plugins oder Apps.

Webhooks werden unter anderem verwendet von^[1]

Derzeit existiert kein Standard zur Implementierung. Es werden Möglichkeiten einer Spezifikation auf Basis von REST-Mustern diskutiert.

• http://www.Webhooks.org/
• Verzeichnis von Webhooks auf Webhook Center

1. ↑ ^{a b} Web Hooks Wiki (Memento vom 13. April 2012 im Internet Archive)
2. ↑ Why Verify Webhooks. In: Svix Docs. Abgerufen am 9. Februar 2025 (englisch). 
3. ↑ Docusign Connect Now Includes Basic Authentication Support. In: docusign.com. Abgerufen am 9. Februar 2025 (englisch). 
4. ↑ Shared Secret - Docs. In: webhooks.fyi. Abgerufen am 9. Februar 2025 (englisch). 
5. ↑ How to Secure Webhook Endpoints with HMAC. In: prismatic.io. Abgerufen am 9. Februar 2025 (englisch). 
6. ↑ https://dracoon.com
7. ↑ GitHub Developer Webhooks API. Abgerufen am 8. Januar 2018. 
8. ↑ IFTTT Webhook. Abgerufen am 8. Januar 2018. 
9. ↑ Telegram BotAPI WebHooks. Abgerufen am 8. Januar 2018. 
10. ↑ WordPress WebHooks. Abgerufen am 8. Januar 2018. 
11. ↑ https://webhook.center/