Author Image

allanmello

Sep 4, 2023

Registro de Webhook e Mecanismos de Segurança

integraçãowebhookPIXsegurançaHMACnotificaçãochave pix

Boa tarde,
Uma dúvida no registro do webhook.
No vídeo Módulo [5.1] Aula 6, o registro da url do Pix é realizado sem o hash "hmac=xyz", e na documentação diz o contrário, que devemos cadastrar o webhook com o hash no final: "https://seu_dominio.com.br/webhook/?hmac=xyz".
Afinal, o que está valendo, ou ambos estão valendo?

Respostas (4):
Avatar discord do usuario rubenskuhl

rubenskuhl

04/09/2023

Ambos valem. Você escolhe se quer ou adicionar hmac na seu URL... mas lembrando que https://exemplo.com.br/webhook/?hmac=xyz vai ser chamado como https://exemplo.com.br/webhook/?hmac=xyz/pix

Avatar discord do usuario allanmello

allanmello

04/09/2023

Bacana, o hash é p/ efeitos de segurança? Ou seja, quando a EFI enviar a resposta ela irá enviar com o hash cadastrado? E dai eu posso validar o hash recebido? É isso?

Avatar discord do usuario rubenskuhl

rubenskuhl

04/09/2023

Sim, é isso. Mas dado que existem n outros mecanismos de segurança, eu acho que isso não agrega. O que mais você pode fazer além do hmac:
- Verificar que a CA é da Efí
- Verificar que o CN é gn-webhook-pix
- Verificar o IP da notificação
- Verificar se a chave Pix é a sua
- Verificar se o txid e valor batem com o que você esperava

Avatar discord do usuario allanmello

allanmello

04/09/2023

Show, obrigado pelas orientações Rubens.

A Comunidade Efí no Discord reúne mais de 10562 desenvolvedores 👨‍💻 incríveis.

Participe para se manter atualizado sobre as APIs da Efí Pay, tirar dúvidas e muito mais! 😊

📰 Discussões relacionadas