PEPINO ZAPdocs
Webhooks

Assinatura HMAC

Como validar que o webhook veio mesmo do PEPINO ZAP.

Em construção. Conteúdo planejado:

  • Cada webhook tem um secret (criado no momento do registro)
  • Toda requisição inclui header X-PepinoZap-Signature: sha256=<hex>
  • Hash é HMAC-SHA256 do body (raw bytes) com o secret como chave
  • Pseudo-código de validação em Node, Python, Go
  • Recomendação: rejeitar webhooks sem assinatura válida (não confiar só em IP origin)

Previous

Eventos disponíveis

Next

Entrega e retry