たとえばSlash CommandsをAWSで作っていて、そのコマンドからPOSTリクエストが飛んでくるエンドポイントの実装をしているときの話。
別に誰に叩かれてもいいAPIなら問題ないけど、ちゃんとSlash Commandsから飛んできたリクエストであることを判定したい場合がほとんどのはず。
Deprecated: Verification Tokenを使う
これまで一般的だった、SlackアプリのBasic InformationのページにあるVerification Tokenを使う方法。
リクエストボディに入ってるトークンと照合するだけのお手軽なやつだった。
しかしこの方法は、もうすぐ使えなくなるらしい。
This deprecated Verification Token can still be used to verify that requests come from Slack, but we strongly recommend using the above, more secure, signing secret instead.