Webhook 安全与可靠投递（签名、重试与去重）

Webhook 安全与可靠投递（签名、重试与去重）概述Webhook 作为事件回调通道，需防篡改、防重放并保障最终送达。本文给出标准签名与重试去重方案。关键实践与参数签名：`X-Signature: HMAC-SHA256(payload + timestamp)`，允许 `±300s` 偏移；服务端校验并拒绝过期。幂等键：`X-Idempotency-Key`；接收方窗口去重（如 24h）。重试退避：`base=500ms`、`factor=2`、`max=5`，对 `5xx/429/timeout` 重试；禁止对 `4xx` 业务错误重试。安全：仅 HTTPS；IP 白名单或签名验证通过后处理。验证方法篡改与过期请求被拒绝；签名失败记录审计。压测重试与送达率；统计重复事件拦截比例。观察尾延迟与峰值稳定性。注意事项对第三方接收端提供重试与去重指南；暴露最小必要字段。维护订阅与退订机制；清理无效端点。记录事件轨迹以便排障与对账。