Termos mais procurados:
Boa tarde,
Uma dúvida no registro do webhook.
No vídeo Módulo [5.1] Aula 6, o registro da url do Pix é realizado sem o hash "hmac=xyz", e na documentação diz o contrário, que devemos cadastrar o webhook com o hash no final: "https://seu_dominio.com.br/webhook/?hmac=xyz".
Afinal, o que está valendo, ou ambos estão valendo?
Ambos valem. Você escolhe se quer ou adicionar hmac na seu URL... mas lembrando que https://exemplo.com.br/webhook/?hmac=xyz vai ser chamado como https://exemplo.com.br/webhook/?hmac=xyz/pix
Bacana, o hash é p/ efeitos de segurança? Ou seja, quando a EFI enviar a resposta ela irá enviar com o hash cadastrado? E dai eu posso validar o hash recebido? É isso?
Sim, é isso. Mas dado que existem n outros mecanismos de segurança, eu acho que isso não agrega. O que mais você pode fazer além do hmac:
- Verificar que a CA é da Efí
- Verificar que o CN é gn-webhook-pix
- Verificar o IP da notificação
- Verificar se a chave Pix é a sua
- Verificar se o txid e valor batem com o que você esperava