Essa é só uma das não conformidades da API do Mercado Pago. Tem várias... você pode comparar a API deles, da Efí e qualquer PSP contra o padrão exigido pela norma em: https://github.com/bacen/pix-api/
f1ed7e55d61c2f1af0ae4a2814_43203
Só Access Token e já era
f1ed7e55d61c2f1af0ae4a2814_43203
Mercado Pago não precisa validar nada, muito mais fácil mexer com a API deles
f1ed7e55d61c2f1af0ae4a2814_43203
Entendi... complicado essa validação aí
rubenskuhl
Um possível parâmetro para isso seria o header X-SSL-CERT ou X-Client-Certificate. Quem pode te dizer qual parâmetro é, se é que sua hospedagem faz isso, é a hospedagem.
rubenskuhl
O servidor HTTP teria que te repassar o certificado de quem conectou, e aí na sua lógica você checa esse parâmetro.
f1ed7e55d61c2f1af0ae4a2814_43203
Entendi. Só não entendi ainda como que faz pra verificar mas valeu pelo esclarecimento.
rubenskuhl
Pq é que vc que tem verificar. Eles mandam o certificado.
rubenskuhl
Veja o comentário da própria Efí acima. Eles dizem pra verificar o certificado.
f1ed7e55d61c2f1af0ae4a2814_43203
Parâmetro ".headers['x-skip-mtls-checking']", deve ser igual a um dos valores predefinidos
Alguém saberia me dizer como resolver isso?
rubenskuhl
Todos os concorrentes da Efí que analisamos que seguiam a API Pix padrão do BACEN tem webhook com mTLS... vários inclusive que requerem certificado ICP-Brasil no webhook, o que é tremendamente não prático. A Efí emite os certificados com CA dela o que é bem simples de usar.