allanmello

Sep 4, 2023

Registro de Webhook e Mecanismos de Segurança

allanmello · 2023-09-04T19:42:43.000Z

Discussão sobre o registro do webhook com ou sem o hash 'hmac', e mecanismos de segurança adicionais.

integraçãowebhookPIXsegurançaHMACnotificaçãochave pix

Boa tarde,
Uma dúvida no registro do webhook.
No vídeo Módulo [5.1] Aula 6, o registro da url do Pix é realizado sem o hash "hmac=xyz", e na documentação diz o contrário, que devemos cadastrar o webhook com o hash no final: "https://seu_dominio.com.br/webhook/?hmac=xyz".
Afinal, o que está valendo, ou ambos estão valendo?

Respostas (4):

rubenskuhl

04/09/2023

Ambos valem. Você escolhe se quer ou adicionar hmac na seu URL... mas lembrando que https://exemplo.com.br/webhook/?hmac=xyz vai ser chamado como https://exemplo.com.br/webhook/?hmac=xyz/pix

allanmello

04/09/2023

Bacana, o hash é p/ efeitos de segurança? Ou seja, quando a EFI enviar a resposta ela irá enviar com o hash cadastrado? E dai eu posso validar o hash recebido? É isso?

rubenskuhl

04/09/2023

Sim, é isso. Mas dado que existem n outros mecanismos de segurança, eu acho que isso não agrega. O que mais você pode fazer além do hmac:
- Verificar que a CA é da Efí
- Verificar que o CN é gn-webhook-pix
- Verificar o IP da notificação
- Verificar se a chave Pix é a sua
- Verificar se o txid e valor batem com o que você esperava

allanmello

04/09/2023

Show, obrigado pelas orientações Rubens.

allanmello

Registro de Webhook e Mecanismos de Segurança

Respostas (4):

rubenskuhl

allanmello

rubenskuhl

allanmello

A Comunidade Efí no Discord reúne mais de 11119 desenvolvedores 👨‍💻 incríveis.

CONECTAR AO DISCORD

📰 Discussões relacionadas