Histórico de mensagens sobre webhook em pix

EXIBINDO CONVERSAS RECENTES:

Texto: webhook
Data: 29/07/2024
Canal: pix
Avatar discord do usuario rubenskuhl

rubenskuhl

Ver Respostas

O de envio é mais fácil você criar uma chave Pix que você só usa para o webhook de envio. Aí o que vier para ele, você sabe que é de envio.
Devolução não é um tipo diferente... é uma atualização no recebimento, aonde vem campos de devolução.

Avatar discord do usuario hardson

hardson

Ver Respostas

Olá, eu estou com uma dúvida a respeito do Webhook de Pix. Qual é o padrão recomendado pela Efí para saber se a requisição do Webhook que estou recebendo é de Recebimento, Devolução ou Envio de Pix? De acordo com a documentação o único que tem um "tipo" é o Envio
imagem enviada na mensagem pelo usuario hardson

Avatar discord do usuario igor_efi

igor_efi

Ver Respostas

Bom dia, @celsoalexandre! Tudo bem?

Sugerimos duas formas de validação para garantir a segurança, mas recomendamos fortemente que você as utilize em conjunto:

Verifique o IP de comunicação:

Restrinja a comunicação ao domínio do webhook cadastrado para aceitar apenas mensagens do IP utilizado pela Efí.
IP utilizado atualmente em nossas comunicações: 34.193.116.226.

Adicione uma hash à URL cadastrada no webhook:

Crie um HMAC (uma identificação própria) que será acrescentado ao final da URL no momento do cadastro do webhook. Essa hash será utilizada para validar a origem da notificação.
Todos os webhooks enviados ao seu servidor terão essa identificação final, e sua aplicação deve validar a presença da mesma.
Exemplo:

URL de notificação original: https://seu_dominio.com.br/webhook
URL com a hash: https://seu_dominio.com.br/webhook?hmac=xyz&ignorar=.
O termo ignorar= serve para tratar a adição do /pix no final da URL.

Avatar discord do usuario celsoalexandre

celsoalexandre

Ver Respostas

bom dia. Eu implementei o webhook pix e por ser um servidor que vai ter outras rotas além dos webhooks da efi, eu optei por desabilitar o mtls e validar um query param "secreto" ao invés disso. Existem mais medidas de segurança recomendadas que posso implementar pra esse webhook?