写在前面
你的 Webhook 接口是不是谁都能访问?担心数据安全和被恶意调用?
别担心,本教程无需任何代码基础,将带你一步步为 N8N Webhook 接口加上 API Key 安全验证。
只需几分钟的简单配置,就能有效保护你的自动化流程,防止未经授权的访问。
配置目的
你的Webhook接口暴露在公网上,任何人知道地址都能调用。
这会带来安全风险,比如数据泄露或被恶意消耗资源。
通过配置Header Auth (API Key),我们可以给接口加上一把“锁”。
只有携带正确“钥匙”(API Key)的请求才能成功触发工作流。
前置条件
在开始前,我们先简单理解两个概念,完全不复杂。
什么是HTTP Header?
你可以把它想象成快递包裹上的“面单”。
除了包裹里的“货物”(实际数据),面单上还有发件人、收件人等额外信息。
HTTP Header就是网络请求里的“面单”,存放着验证身份等附加信息。
什么是API Key?
API Key就像一把专属的“门禁卡”。
系统会发给你一张唯一的卡,你每次进门时都需要刷一下。
这样,系统就知道是你来了,并允许你进入。
配置步骤
接下来,跟着我们的步骤,一步步为你的Webhook加上安全验证。
第一步:选择验证方式
在你的N8N工作流中,点击打开Webhook触发节点。
在右侧的参数面板中,找到 Authentication 字段。
默认是 None,把它改成 Header Auth。
第二步:创建新凭证
更改验证方式后,会出现一个 Credential 字段。
点击下拉框,选择 Create New 来创建一个新的凭证。
这个凭证就是用来存放你的“门禁卡”信息的地方。
第三步:配置凭证参数
在弹出的凭证创建窗口中,你需要填写两个关键信息:
Name: 这是请求头(Header)的名称。推荐使用通用名称 x-api-key。
Value: 这是API Key的具体值,也就是你的“密码”。
请设置一个复杂且不易被猜到的字符串,例如 MY_SECRET_KEY_abc123。
Credential Name 可以随便填,方便你自己识别,比如 “我的Webhook密钥”。
填写完成后,点击右下角的 Save 按钮保存。
如何测试
配置完成后,你需要验证一下是否生效。
你可以使用任何API测试工具(如Postman),或在N8N里用HTTP Request节点测试。
成功调用的请求
向你的Webhook生产URL发送一个POST或GET请求。
在请求的 Headers 部分,添加一个键值对:
键(Key): x-api-key
值(Value): MY_SECRET_KEY_abc123 (你刚才设置的那个)
工作流应该会成功执行。
失败调用的请求
尝试不带 x-api-key 这个Header,或者提供一个错误的值。
你会发现请求失败,通常会返回401 Unauthorized错误,工作流不会被触发。
常见错误提示
配置过程中遇到问题很正常,我们列出了两个最常见的“坑”。
Header值为空或缺失
这是最常见的问题。调用方忘记在请求头中添加API Key。
N8N会直接拒绝请求,工作流不会运行。这是正常的安全保护行为。
请检查调用方的代码或配置,确保Header已正确发送。
API Key凭证配置错误
请仔细核对你在N8N凭证中设置的 Name 和 Value。
名称(比如 x-api-key)和值都必须与调用方发送的完全一致,包括大小写。
任何一个字符的差异都会导致验证失败。
