跳至主要內容

MPChat Bot 生產上線檢查清單(安全、重試、日誌、冒煙測試)

MPChat Bot 上線前要逐項核對的清單:token 與 Webhook 安全、限流重試、日誌脫敏、高危 API 審批,以及 5 步冒煙測試。

上線前逐項打勾。多數生產事故來自 token 洩露、缺少重試,或自動執行高危方法。


總覽

按關注點分組的上線前清單,配合末尾的冒煙測試一起用。

Token 安全

  • token 僅存密鑰管理 / 環境變數,絕不進倉庫。

  • 生產與測試 Bot 分離 token。

  • CI/CD 注入密鑰;不列印到 build log。

  • 制定 token 洩露輪換 SOP。

Webhook 安全

  • HTTPS 公網 URL。

  • 配置 secret_token 並校驗 X-MpChat-Bot-Api-Secret-Token 標頭。

  • Webhook endpoint 不暴露管理介面。

  • 先在測試環境驗證,再對生產執行 setWebhook

限流與重試

  • 用戶端限流 ≤ 每 token 每秒 30 次。

  • 429500 指數退避;400/401/403 不重試;409 理清輪詢與 Webhook。

  • 批量操作控制並發。

日誌脫敏

  • 日誌不出現 token、完整 initData 或用戶敏感欄位。

  • 錯誤上報配置脫敏規則。

  • 存取日誌不記錄含 secret 的完整 webhook URL。

高危 API(DocOnly,需審批 + 回滾方案)

  • logOutleaveChatdeleteMessage(s)banChatMembersetWebhookdeleteWebhook

  • 部署流水線不包含上述方法的自動呼叫。

  • 維運手冊記錄審批人與回滾步驟。

冒煙測試

  1. getMe——token 有效。

  2. getWebhookInfo——URL 正確。

  3. 模擬用戶訊息——Webhook 收到 update。

  4. sendMessage——回覆成功。

  5. (如有)initData 驗簽通過。

相關文章

另需驗證冪等:評估重複 sendMessage 的業務副作用;Webhook 處理先持久化 update 再回傳 200。

是否回答了您的問題?