钉钉机器人 webhook 地址一旦泄露,无法直接修改原有链接,必须删除旧机器人并创建新机器人以获取新地址。重置后应立即启用 IP 白名单和加签机制,限制只有受信任的服务器才能调用接口。
先说结论:泄露后唯一有效止损方式是更换新 webhook 地址,并配合 IP 白名单与签名验证双重加固。
- 先判断:确认泄露范围,评估是否已有异常消息发送记录。
- 优先做:在钉钉群设置中移除旧机器人,新建机器人并开启安全设置。
- 再验证:使用新配置发送测试消息,确认旧地址失效且新地址通畅。
快速处理思路
钉钉机器人安全重置不涉及命令行操作,主要通过钉钉客户端界面完成配置变更。
- 移除旧配置:进入钉钉群设置,找到机器人管理,删除已泄露的机器人。
- 创建新机器人:重新添加自定义机器人,复制新生成的 webhook 地址。
- 开启安全设置:在新建过程中勾选"IP 地址"和"加签",记录 Secret 和允许调用的出口 IP。
- 更新代码:修改业务代码中的 webhook URL 和签名计算逻辑,重新部署服务。
为什么会这样
Webhook 地址本质是一个静态的 HTTP 接口链接,默认情况下不包含身份验证信息。
一旦该链接泄露,任何获取到该链接的人都可以通过 HTTP POST 请求向群内发送消息。钉钉提供的安全机制(IP 白名单和签名)是在请求到达服务端时进行校验,如果不开启,服务端无法区分请求来源是否合法。因此,泄露后仅靠修改代码无法止损,必须更换底层链接。
分步处理
按照以下顺序操作可确保旧链接失效且新链接安全。
步骤 1:删除旧机器人
进入钉钉群聊设置,选择"智能群助手",找到对应的机器人并移除。此操作会立即使旧 webhook 地址失效,无法再发送消息。
步骤 2:新建机器人并配置安全
重新添加"自定义"机器人。在安全设置环节,必须同时勾选两项:
- IP 地址:填入调用该接口服务器的出口公网 IP 地址。
- 加签:系统会生成一个 Secret,用于后续请求签名计算。
步骤 3:更新业务代码
将代码中存储的旧 webhook URL 替换为新 URL。同时引入签名计算逻辑,将 timestamp 和 Secret 进行 HMAC-SHA256 加密并 URL Encode,拼接到请求参数中。
怎么验证是否生效
通过发送测试消息和尝试非法调用来确认安全策略是否生效。
验证新地址可用性:使用配置好签名的代码发送一条测试消息,确认群内能正常收到。
验证旧地址失效:使用旧 webhook 地址发起请求,钉钉服务端应返回错误码或无响应,群内不应收到消息。
验证安全限制:尝试从不白名单 IP 发起请求,或请求中不带签名/签名错误,钉钉接口应返回错误提示,如"ip 不在白名单"或"签名验证失败"。
常见坑
配置过程中容易忽略网络环境和签名细节,导致服务不可用。
- IP 白名单填错:填写了服务器内网 IP 而非出口公网 IP,导致请求被钉钉拦截。需确认 NAT 网关或代理后的公网出口 IP。
- 签名计算错误:签名计算未使用 UTF-8 编码,或 timestamp 单位错误(需毫秒级),导致签名验证失败。
- 密钥保管不当:将 Secret 硬编码在代码仓库中,导致二次泄露。建议使用环境变量或密钥管理服务存储。
- 关键词冲突:如果同时开启了关键词过滤,消息内容必须包含设置的关键词,否则发送失败。
常见问题
webhook 地址泄露后能直接重置链接吗?
不能,钉钉不支持直接刷新现有机器人的 webhook 地址。
必须删除旧机器人并创建新机器人,这会生成一个全新的 URL 地址。
服务器 IP 是动态变化的怎么办?
建议使用固定的出口网关或 NAT 服务器。
如果无法固定 IP,需评估风险,仅开启"加签"机制也能提供较高的安全性,防止未授权调用。
签名计算报错"签名验证失败"如何解决?
检查 timestamp 是否为当前时间戳(毫秒),且与请求头中的时间一致。
确认 Secret 复制完整,没有多余空格,且加密算法为 HMAC-SHA256。
参考来源
- 钉钉开放平台 - 自定义机器人接入:https://open.dingtalk.com/document/robots/custom-robot-access
- 钉钉开放平台 - 安全设置说明:https://open.dingtalk.com/document/robots/custom-robot-access