Clay Webhooks & Events

概要

署名検証とリプレイ攻撃対策を備えた、セキュアな Clay ウェブフック処理。

前提条件

• Clay ウェブフックシークレットが設定済み
• インターネットからアクセス可能な HTTPS エンドポイント
• 暗号化署名の理解
• Redis またはデータベース（ベき等性処理用、オプション）

ウェブフックエンドポイントのセットアップ

Express.js

import express from 'express';
import crypto from 'crypto';

const app = express();

// IMPORTANT: Raw body needed for signature verification
app.post('/webhooks/clay',
  express.raw({ type: 'application/json' }),
  async (req, res) => {
    const signature = req.headers['x-clay-signature'] as string;
    const timestamp = req.headers['x-clay-timestamp'] as string;

    if (!verifyClaySignature(req.body, signature, timestamp)) {
      return res.status(401).json({ error: 'Invalid signature' });
    }

    const event = JSON.parse(req.body.toString());
    await handleClayEvent(event);

    res.status(200).json({ received: true });
  }
);

署名検証

function verifyClaySignature(
  payload: Buffer,
  signature: string,
  timestamp: string
): boolean {
  const secret = process.env.CLAY_WEBHOOK_SECRET!;

  // Reject old timestamps (replay attack protection)
  const timestampAge = Date.now() - parseInt(timestamp) * 1000;
  if (timestampAge > 300000) { // 5 minutes
    console.error('Webhook timestamp too old');
    return false;
  }

  // Compute expected signature
  const signedPayload = `${timestamp}.${payload.toString()}`;
  const expectedSignature = crypto
    .createHmac('sha256', secret)
    .update(signedPayload)
    .digest('hex');

  // Timing-safe comparison
  return crypto.timingSafeEqual(
    Buffer.from(signature),
    Buffer.from(expectedSignature)
  );
}

イベントハンドラーパターン

type ClayEventType = 'resource.created' | 'resource.updated' | 'resource.deleted';

interface ClayEvent {
  id: string;
  type: ClayEventType;
  data: Record<string, any>;
  created: string;
}

const eventHandlers: Record<ClayEventType, (data: any) => Promise<void>> = {
  'resource.created': async (data) => { /* handle */ },
  'resource.updated': async (data) => { /* handle */ },
  'resource.deleted': async (data) => { /* handle */ }
};

async function handleClayEvent(event: ClayEvent): Promise<void> {
  const handler = eventHandlers[event.type];

  if (!handler) {
    console.log(`Unhandled event type: ${event.type}`);
    return;
  }

  try {
    await handler(event.data);
    console.log(`Processed ${event.type}: ${event.id}`);
  } catch (error) {
    console.error(`Failed to process ${event.type}: ${event.id}`, error);
    throw error; // Rethrow to trigger retry
  }
}

ベき等性処理

import { Redis } from 'ioredis';

const redis = new Redis(process.env.REDIS_URL);

async function isEventProcessed(eventId: string): Promise<boolean> {
  const key = `clay:event:${eventId}`;
  const exists = await redis.exists(key);
  return exists === 1;
}

async function markEventProcessed(eventId: string): Promise<void> {
  const key = `clay:event:${eventId}`;
  await redis.set(key, '1', 'EX', 86400 * 7); // 7 days TTL
}

ウェブフックテスト

# Use Clay CLI to send test events
clay webhooks trigger resource.created --url http://localhost:3000/webhooks/clay

# Or use webhook.site for debugging
curl -X POST https://webhook.site/your-uuid \
  -H "Content-Type: application/json" \
  -d '{"type": "resource.created", "data": {}}'

手順

ステップ 1: ウェブフックエンドポイントを登録

Clay ダッシュボードでウェブフック URL を設定します。

ステップ 2: 署名検証を実装

署名検証コードを使用して、受信ウェブフックを検証します。

ステップ 3: イベントを処理

アプリケーションで必要な各イベントタイプのハンドラーを実装します。

ステップ 4: ベき等性を追加

イベント ID トラッキングで重複処理を防止します。

出力

• セキュアなウェブフックエンドポイント
• 署名検証が有効化
• イベントハンドラーが実装済み
• リプレイ攻撃対策が有効

エラー処理

問題	原因	解決策
署名が無効	シークレットが間違っている	ウェブフックシークレットを確認
タイムスタンプが却下される	クロックドリフト	サーバーの時刻同期を確認
イベントが重複する	ベき等性処理がない	イベント ID トラッキングを実装
ハンドラータイムアウト	処理が遅い	非同期キューを使用

例

ローカルでウェブフックをテスト

# Use ngrok to expose local server
ngrok http 3000

# Send test webhook
curl -X POST https://your-ngrok-url/webhooks/clay \
  -H "Content-Type: application/json" \
  -d '{"type": "test", "data": {}}'

リソース

• Clay Webhooks Guide
• Webhook Security Best Practices

次のステップ

パフォーマンス最適化については、clay-performance-tuning を参照してください。