Din Telegram-bot fungerar toppen … tills slumpmässiga personer hittar den. Sedan börjar spammet, loggarna fylls, och om din bot anropar betalda API:er (som OpenAI) kan du bokstavligen se pengar försvinna. Automatiserad whitelist för Telegram-bot löser det snabbt.
Marknadsteam som kör leadgen-botar märker det direkt när en kampanjlänk delas vidare. Byråägare som levererar kundchattbotar får nattmeddelandet: ”varför är fakturan så hög?”. Och solo-founders som bygger AI-hjälpare drabbas hårdast, för det finns ingen som vaktar dörren.
Det här flödet (BotGuard) lägger på ett enkelt auktoriseringslager i n8n: godkända användare släpps igenom, alla andra blockeras, och du får en omedelbar adminnotis med användarens Telegram-ID.
Så fungerar automatiseringen
Hela n8n-flödet, från trigger till slutresultat:
n8n Workflow Template: Telegram-bot med vitlista och direkta adminvarningar
flowchart LR
subgraph sg0["Telegram Flow"]
direction LR
n0["<div style='background:#f5f5f5;padding:10px;border-radius:8px;display:inline-block;border:1px solid #e0e0e0'><img src='https://flowpast.com/wp-content/uploads/n8n-workflow-icons/code.svg' width='40' height='40' /></div><br/>BotGuard Authorization"]
n1@{ icon: "mdi:swap-horizontal", form: "rounded", label: "Check Authorization", pos: "b", h: 48 }
n2["<div style='background:#f5f5f5;padding:10px;border-radius:8px;display:inline-block;border:1px solid #e0e0e0'><img src='https://flowpast.com/wp-content/uploads/n8n-workflow-icons/telegram.svg' width='40' height='40' /></div><br/>Send Success"]
n3["<div style='background:#f5f5f5;padding:10px;border-radius:8px;display:inline-block;border:1px solid #e0e0e0'><img src='https://flowpast.com/wp-content/uploads/n8n-workflow-icons/telegram.svg' width='40' height='40' /></div><br/>Send Denied"]
n4@{ icon: "mdi:swap-horizontal", form: "rounded", label: "Check Admin Notify", pos: "b", h: 48 }
n5["<div style='background:#f5f5f5;padding:10px;border-radius:8px;display:inline-block;border:1px solid #e0e0e0'><img src='https://flowpast.com/wp-content/uploads/n8n-workflow-icons/code.svg' width='40' height='40' /></div><br/>Prepare Admin Notifications"]
n6["<div style='background:#f5f5f5;padding:10px;border-radius:8px;display:inline-block;border:1px solid #e0e0e0'><img src='https://flowpast.com/wp-content/uploads/n8n-workflow-icons/telegram.svg' width='40' height='40' /></div><br/>Telegram Trigger"]
n7["<div style='background:#f5f5f5;padding:10px;border-radius:8px;display:inline-block;border:1px solid #e0e0e0'><img src='https://flowpast.com/wp-content/uploads/n8n-workflow-icons/telegram.svg' width='40' height='40' /></div><br/>Notify Admin"]
n6 --> n0
n4 --> n5
n1 --> n2
n1 --> n3
n1 --> n4
n0 --> n1
n5 --> n7
end
%% Styling
classDef trigger fill:#e8f5e9,stroke:#388e3c,stroke-width:2px
classDef ai fill:#e3f2fd,stroke:#1976d2,stroke-width:2px
classDef aiModel fill:#e8eaf6,stroke:#3f51b5,stroke-width:2px
classDef decision fill:#fff8e1,stroke:#f9a825,stroke-width:2px
classDef database fill:#fce4ec,stroke:#c2185b,stroke-width:2px
classDef api fill:#fff3e0,stroke:#e65100,stroke-width:2px
classDef code fill:#f3e5f5,stroke:#7b1fa2,stroke-width:2px
classDef disabled stroke-dasharray: 5 5,opacity: 0.5
class n6 trigger
class n1,n4 decision
class n0,n5 code
classDef customIcon fill:none,stroke:none
class n0,n2,n3,n5,n6,n7 customIcon
Problemet: din bot är offentlig som standard
De flesta Telegram-botar levereras ”öppna”. Vem som helst som hittar användarnamnet kan skriva till den, vilket är helt okej tills din bot gör något värdefullt. I samma stund du kopplar in en AI-agent, betalda HTTP-anrop eller något som är kopplat till kunddata har du skapat ett mjukt mål. Och det värsta är hur tyst felet kan vara. Du märker inte alltid en attack. Du märker en högre OpenAI-faktura, en seg bot eller en kund som undrar varför främlingar använder deras verktyg.
Det eskalerar snabbt. Här är var det fallerar i verklig drift.
- Vem som helst kan trigga dyra API-anrop bara genom att skicka meddelanden, vilket gör att en viral delning kan bli en kostsam överraskning.
- Du hamnar i manuellt åtkomstpolisarbete, där du kollar användarnamn och chatthistorik i stället för att göra ditt faktiska jobb.
- Utan larm får du ofta reda på obehörig användning först efter att skadan redan är skedd.
- Att bygga ”riktig” autentisering känns som överkurs, så många team hoppar över det och hoppas på det bästa.
Lösningen: en Telegram-whitelist-gate + adminlarm
Det här n8n-flödet sätter en vakt framför din bot. Varje inkommande Telegram-meddelande går först in i flödet, där ett access-control-script kontrollerar avsändarens användar-ID mot en enkel whitelist som du underhåller på ett ställe. Om användaren är godkänd skickar flödet ett OK-svar och skickar vidare korrekt formaterad ”auktoriserad användare”-data så att din riktiga botlogik kan köras säkert. Om användaren inte är godkänd skickar flödet ett artigt avslag som kan innehålla deras användar-ID (så att legitima användare kan be om åtkomst). Därefter notifieras en eller flera admins direkt, inklusive den obehöriga användarens ID och användarnamn. Ärligt talat är det här grundskyddet som de flesta botar borde levereras med.
Flödet startar när någon skickar ett meddelande till din Telegram-bot. n8n kontrollerar behörighet och routar meddelandet via ”tillåt”- eller ”neka”-spåret. Till sist skickas antingen godkännandesvaret eller avslaget, plus ett adminlarm för nekade försök.
Det du får: automatisering vs. resultat
| Det här flödet automatiserar | Resultat du får |
|---|---|
|
|
Exempel: så här ser det ut
Säg att din bot använder en AI-agent och att varje meddelande kan trigga ett OpenAI-anrop. Om 50 slumpmässiga personer når din bot under en dag och var och en skickar 10 meddelanden blir det cirka 500 betalda anrop du aldrig bad om. Manuellt måste du upptäcka det, gräva i chattar och blockera personer en och en (lätt en timmes distraktion). Med det här flödet sker det automatiskt: det första obehöriga meddelandet nekas direkt, och du får en adminnotis direkt med användar-ID så att du kan ignorera det eller godkänna det.
Det du behöver
- n8n-instans (testa n8n Cloud gratis)
- Self-hosting-alternativ om du föredrar det (Hostinger fungerar bra)
- Telegram för bot-trigger och svar.
- Telegram bot-token för att ansluta din bot i n8n.
- Telegram-användar-ID:n (kopiera från avslagsmeddelandet).
Kunskapsnivå: Nybörjare. Du klistrar in en liten användarlista i en kodnod och kopplar Telegram-credentials.
Vill du inte sätta upp detta själv? Prata med en automations-expert (gratis 15-minuters konsultation).
Så fungerar det
Ett Telegram-meddelande triggar flödet. ”Incoming Telegram Trigger” körs varje gång din bot tar emot ett meddelande, så inget smiter förbi skyddsräcket.
Avsändaren kontrolleras mot din whitelist. Ett litet script läser inkommande användar-ID och jämför det med din AllowedUsers-array (plus en Administrators-array för larm). Här kan du också lägga till metadata som subscriptionType (basic, premium, admin).
n8n routar meddelandet till tillåt eller neka. ”Authorization Gate” avgör vilket svar som ska skickas. Godkända användare får ett OK-svar och ditt flöde kan fortsätta säkert efter den här punkten.
Admins notifieras när någon blockeras. Om avsändaren inte är tillåten skickar flödet ett avslag till användaren, bygger sedan ett adminlarm som innehåller detaljer om användaren som försökte och skickar det till en eller flera adminchattar i Telegram.
Du kan enkelt ändra avslagsmeddelandet så att det innehåller en supportlänk eller instruktioner för att ”begära åtkomst” utifrån dina behov. Se hela implementationsguiden nedan för anpassningsalternativ.
Steg-för-steg-guide för implementering
Steg 1: Konfigurera Telegram-triggern
Det här arbetsflödet startar när ett Telegram-meddelande tas emot, så konfigurera triggern att lyssna efter inkommande meddelanden.
- Lägg till noden Incoming Telegram Trigger.
- Ställ in Updates på
message. - Inloggningsuppgifter krävs: Anslut era telegramApi-inloggningsuppgifter i Incoming Telegram Trigger.
Steg 2: Anslut Telegram
Arbetsflödet skickar svar och admin-aviseringar via Telegram, så anslut inloggningsuppgifter för alla åtgärdsnoder som skickar meddelanden.
- I Dispatch Success Reply, ställ in Text på
{{ $json.botGuard.authorizedMessage }}och Chat ID på{{ $json.botGuard.chatId }}. - I Dispatch Denial Reply, ställ in Text på
{{ $json.botGuard.userMessage }}och Chat ID på{{ $json.botGuard.chatId }}. - I Send Admin Alert, ställ in Text på
{{ $json.adminMessage }}och Chat ID på{{ $json.adminChatId }}. - Säkerställ att Additional Fields → parse_mode är satt till
HTMLi alla tre Telegram-noder som skickar. - Inloggningsuppgifter krävs: Anslut era telegramApi-inloggningsuppgifter i Dispatch Success Reply, Dispatch Denial Reply och Send Admin Alert.
Steg 3: Konfigurera skript för åtkomstkontroll
Det här steget definierar vem som har åtkomst, vem som är admin och vilka meddelanden som ska skickas beroende på behörighetsstatus.
- Lägg till noden Access Control Script och klistra in den tillhandahållna JavaScript-koden i Code.
- Uppdatera arrayen AllowedUsers genom att ersätta
[YOUR_ID]med riktiga Telegram-användar-ID:n. - Uppdatera arrayen Administrators med admin-användar-ID:n och chatt-ID:n så att aviseringar routas korrekt.
- Behåll utdata-strukturen under
item.json.botGuardoförändrad så att efterföljande noder kan läsaallowEntry,authorizedMessage,userMessageochadminMessage.
⚠️ Vanlig fallgrop: Om ni lämnar [YOUR_ID]-platshållare i Access Control Script kommer alla användare att blockeras eftersom inga riktiga ID:n matchar.
Steg 4: Konfigurera routning och admin-aviseringar
Behörighetsutfallet delas upp i vägar för godkänd, nekad och valfri admin-avisering.
- I Authorization Gate, ställ in det booleska villkorets Left Value till
{{ $json.botGuard.allowEntry }}för att tillåta behöriga användare. - Anslut Authorization Gate-utgången true till Dispatch Success Reply och utgången false till Dispatch Denial Reply.
- I Verify Admin Alert, ställ in strängvillkorets Left Value till
{{ $('Authorization Gate').item.json.botGuard.adminMessage }}med operationen notEmpty. - Konfigurera Compose Admin Alerts att använda den tillhandahållna koden som mappar admins till utdata-items.
- Anslut Compose Admin Alerts till Send Admin Alert så att varje admin tar emot aviseringen.
Tips: Authorization Gate skickar utdata till både Dispatch Denial Reply och Verify Admin Alert parallellt för nekade användare, vilket säkerställer att de får återkoppling samtidigt som admins blir notifierade.
Steg 5: Testa och aktivera ert arbetsflöde
Verifiera hela behörighetsflödet och aktivera arbetsflödet för produktion.
- Klicka på Execute Workflow och skicka ett Telegram-meddelande till er bot.
- Bekräfta att behöriga användare får svaret för godkänd från Dispatch Success Reply och att obehöriga användare får nekande svar från Dispatch Denial Reply.
- Trigga ett obehörigt meddelande (inte
/request) och verifiera att Send Admin Alert levererar aviseringar till alla admin-chatt-ID:n. - Växla arbetsflödet till Active när beteendet från början till slut matchar er åtkomstpolicy.
Vanliga fallgropar
- Telegram-credentials kan löpa ut eller vara kopplade till fel bot. Om svar slutar skickas, kontrollera först credentials i Telegram-noden i n8n och bekräfta att bot-token matchar bot-användarnamnet du testar.
- Om du använder Wait-noder eller extern rendering varierar processingtiderna. Öka väntetiden om efterföljande noder fallerar på tomma svar.
- Standardprompter i AI-noder är generiska. Lägg in din tonalitet tidigt annars kommer du redigera output i all evighet.
Vanliga frågor
Cirka 20 minuter om din Telegram-bot redan är skapad.
Nej. Du kommer mest att copy/paste:a användar-ID:n in i whitelist och koppla dina Telegram-credentials i n8n.
Ja. n8n har ett gratis self-hosted-alternativ och en gratis testperiod på n8n Cloud. Cloud-planer börjar på 20 USD/månad för högre volym. Du behöver också räkna med OpenAI API-kostnader om din skyddade bot anropar OpenAI, vilket kan dra iväg snabbt när användningen sticker iväg.
Två alternativ: n8n Cloud (hanterat, enklast att komma igång) eller self-hosting på en VPS. För self-hosting är Hostinger VPS prisvärd och klarar n8n bra. Self-hosting ger dig obegränsade körningar men kräver grundläggande serveradministration.
Ja, och den är redan designad för det. I kodnoden ”Access Control Script” kan varje tillåten användare ha en subscriptionType som basic, premium eller admin. Flödet skickar det vidare i ett botGuard-objekt, så att din huvudlogik kan tillåta premium-kommandon samtidigt som du blockerar basic-användare från det dyra. Om du senare vill ha listan i en databas eller Google Sheet kan du behålla samma gate och bara byta var AllowedUsers hämtas ifrån.
Oftast beror det på fel bot-token eller föråldrade credentials i n8n. Anslut Telegram-credentialn på nytt och bekräfta sedan att du testar genom att skriva till samma bot-användarnamn som är kopplat till den token. Om adminlarm fallerar men användarsvar fungerar, kontrollera admin chat-ID och säkerställ att admin-kontot faktiskt har startat en chatt med boten.
För en liten teamlista (upp till cirka 50 användare) är det helt friktionsfritt.
Oftast ja, för allt som handlar om åtkomstkontroll. n8n gör det enkelt att hålla auktoriseringslogiken nära din bot, lägga till grenar (tillåt, neka, larma, nivåkontroller) och self-hosta om du vill ha obegränsade körningar. Zapier och Make kan fungera, men du känner dig ofta inlåst när du vill ha flera adminlarm, prenumerationsnivåer eller rikare meddelandeformatering. Det finns också en praktisk aspekt: om din bot blir hårt belastad kan prissättning per task bli irriterande snabbt. Om du är osäker, prata med en automations-expert så hjälper vi dig välja det renaste alternativet.
När den här gaten väl är på plats slutar din bot vara en öppen dörr. Du får färre överraskningar, renare drift och ett verkligt skydd för allt dyrt som ligger bakom Telegram.
Kontakta oss
Hör av dig, så diskuterar vi hur just din verksamhet kan dra nytta av alla fantastiska möjligheter som AI skapar.