厳しいセキュリティと最高のユーザーエクスペリエンスを実現するため、Alexaスキルは受信するすべてのリクエストを検証する必要があります。Alexaサービスからのリクエストのみを承認し、Alexaサービス以外からのすべてのリクエスト、または不正な証明書によって署名されたすべてのリクエストは拒否しなければなりません。
リクエストの検証項目は、署名とタイムスタンプの2つ
リクエストの検証に必要な情報は、HTTPヘッダーにあるSignatureとSignatureCertChainUrlです。
リクエストを検証するには、以下の手順を実行します。
- URLがAmazonの形式に一致していることを確認する。
- 証明書チェーンの有効性を確認する。
- 署名を解読して、ハッシュ値とタイムスタンプを確認する。
これらの検証手順の詳細については、こちらを参照してください。
注:
- これは、独自のウェブサービスとして開発したスキルにのみ適用されます。AWS Lambda上に展開されるスキルでは必要ありません。
- AmazonのAlexa Skills Kit Javaライブラリが、これらの検証を処理します。
キーワード: Alexaスキル, 署名の検証, 認証エラー
