5.設定正確的HTTPS
基於資料通訊安全的因素,在LINE平台上開發應用服務的所有資料傳送都必須透過加密通道。因此,當開發者架設LINE Messaging API的Webhook伺服器時,一定要使用HTTPS通訊協定。
在設定HTTPS伺服器時,有下列幾點必須注意的事項:
HTTPS伺服器所使用的根憑證(Root CA)必須是在LINE平台的白名單列表中,否則LINE平台會拒絕傳送訊息。在白名單1.列表中大多數的憑證都需要付費申請,但是LINE平台也支援常用的免費憑證,例如Let’s Encrypt。
2.請勿使用已知具有安全性漏洞的協定(例如SSL v2或SSL v3)或Cipher Suite(例如SWEET32或CVE-2016-2183)。
3.請務必正確設定中繼憑證(Intermediate certificate),以避免無法對應到根憑證而發生錯誤。這是最常見的問題通報狀況,請在設定HTTPS伺服器時多加留意。
6.瞭解用戶識別碼
每個LINE用戶帳號都有個自己的內部識別碼,稱為User ID。User ID與LINE用戶自訂的LINE ID的格式與用途完全不同。開發Messaging API應用程式時,無論是接受訊息、傳送訊息、或是存取其他API,皆必須使用User ID來代表LINE用戶。User ID的格式為33個字元的英數字字串,例如U206d25c2ea6bd87c17655609a1c37cb8。如果開發者想要驗證一個字串是否為正確的User ID格式,可以使用正規表示式(Regular Expression)「^U[0-9a-f]{32}$」來測試。