Probot项目升级至v13后Webhook签名验证失败问题解析

在Probot项目从v12升级到v13版本后，许多开发者遇到了一个共同的问题：Webhook请求的签名验证失败。这个问题尤其在使用Vercel等云平台部署时更为明显。本文将深入分析问题原因，并提供解决方案。

问题现象

升级到Probot v13后，所有通过Webhook发送的请求都无法通过签名验证。开发者在使用VS Code的端口转发进行本地测试时也能复现该问题。

根本原因

Probot v13对Webhook验证机制进行了重要变更：

1. 现在只接受字符串形式的payload，不再支持对象形式的payload
2. 这一变更源于底层Octokit库的更新

解决方案

对于使用Vercel平台的开发者，需要禁用Vercel的自动body解析功能。可以通过在项目配置中添加以下代码实现：

module.exports.config = {
  api: {
    bodyParser: false,
  },
};

技术背景

Webhook签名验证是确保请求来自GitHub的重要安全机制。Probot v13之前版本能够自动处理对象和字符串两种形式的payload，但在v13中为了与Octokit保持一致，移除了对对象形式payload的支持。

最佳实践建议

1. 在升级到Probot v13前，检查项目中是否有对Webhook payload的预处理
2. 确保中间件不会自动解析请求体
3. 考虑在验证函数中添加类型检查，当收到对象形式payload时抛出明确错误

总结

Probot v13的这项变更是为了提高与Octokit的兼容性，虽然短期内可能造成升级困扰，但从长期看有助于保持生态一致性。开发者需要注意平台特定的自动解析行为，确保原始请求体能够完整传递到Probot的验证流程中。