It's standard OAuth+mTLS. You send clientId, clientSecret and the cliente certificate to the /oauth/token endpoint.
Termos mais procurados:
Histórico de mensagens sobre mtls em pix
PROCURE NO HISTÓRICO
CANAIS DE TEXTO
DISCUSSÕES
- Inserção automática do formato do Pix copia e cola pelo WhatsApp
- Conceito de Payload Locations no PIX
- Implementação do Módulo Gerencianet no Perfex CRM
- Repetição do Processo de Criação com txid
- Alternativas para Detalhar QR Code Pix
- Endpoint para Recuperar Saldo
- Configuração de URLs para Recebimento de Status
- Consulta de Chave PIX na API de Envio
- Problemas com Token em Ambiente de Homologação
- Tempo Médio de Análise de Documentos na Abertura de Conta
- Utilização de Endpoints e Payload no Pix
- Cancelamento de Boleto e Remoção do DDA
- Implementação da SDK do Pix em Next.js ou React
- Recebimento de Pagamentos via QR Code e Arduino
- Cobrança em Período de Teste Grátis de 7 dias
- Teste de Status de Pagamento em Ambiente de Homologação
- Integrações com o Laravel e SDK de PHP da EFI
- Atualização de informações no Retentiva de Cobrança
- Autenticação com Certificado em NextJS
- Interpretação do Campo 'Solicitação ao Pagador' no Webhook GN
- Retenção de Pagamento no PIX em Marketplace
- Integração da API do Pix em Sistema Próprio
- Resolução de Delay nas Chamadas de Geração de QR Code e Pix em Node
- Geração de payment_token pelo Postman e teste em homologação
- Especificação da URL do Webhook no Exemplo Pix
EXIBINDO CONVERSAS RECENTES:
Texto: mtls
Canal: pix
Bom dia! Estou integrando a API PIX da gerencianet com o sistema que trabalho, no entanto estou enfrentando uma dificuldade em configurar o webhook.
No momento o sistema em que trabalho esta impossibilitado de validar o certificado de vcs (mTLS) e por isso estou usando a opcao "x-skip-mtls-checking" como sugerido na DOC e configurando com um hash e validando pelo IP como indicado na DOC.
Ao configurar o webhook a API de vcs faz um teste na minha e o teste ocorre como esperado, IP e hash td validado.
No entanto ao realizar um pix a API de vcs esta enviando o hash incompleto e por o hask estar incompleto e nao bater com o esperado minha API esta negando a conexao. Nao to entendendo ja que inicialmente ao configurar o webhook a API de vcs envia o hash completo como informado mas na hora de notificar o pagamento esta enviando o hash incompleto
OBS: estou no ambiente de testes e ao criar a cobrança a API de vcs ja enviar a confirmacao do pagamento
Ei, pessoal!
Como vocês sabem, agora somos Efí e como parte da transição de marca vamos alterar a nossa chave pública, para cadastro do webhook com mTLS, para um novo padrão:
Produção: https://pix.sejaefi.com.br/webhooks/chain-prod.crt
Homologação: https://pix.sejaefi.com.br/webhooks/chain-sandbox.crt
Você integrador que já tem o webhook configurado com nossa cadeia antiga (https://pix.gerencianet.com.br/webhooks/chain-pix-prod.crt) , não se preocupe, as notificações continuarão sendo enviadas normalmente para o seu sistema.
Para os novos integradores e para os que desejam atualizar para o novo padrão deve-se trocar o certificado nas configurações do seu servidor com a nova assinatura, e após isto, associar novamente o webhook à chave Pix utilizada para recebimentos e envios de Pix pelo endpoint (https://dev.gerencianet.com.br/docs/api-pix-endpoints#configurar-o-webhook-pix).
ATENÇÃO: Se for realizada apenas a troca da chave pública (certificado) nas configurações do seu servidor, sem renovar a associação do webhook à chave Pix , o seu servidor irá recusar as nossas comunicações que estarão assinadas com o certificado antigo, padrão Gerencianet.
Quaisquer dúvidas, nosso time de especialistas da consultoria está sempre à disposição no Discord.
Conte com a gente 🧡
@joao_efi se eu quiser usar o "Skip-mTLS" (utilizando a validação por ip e uma hash ao final da URL) basta eu ignorar o certificado ? os dados do pix pago entregues pelo POST poderá ser lido sem problemas?
Se você já está recebendo as confirmações dos Pix pagos, então seu webhook já está funcionando normalmente! 🙂
O mTLS é uma camada de segurança para garantir que a origem daquela confirmação de pagamento é realmente do nosso sistema.
@joao_efiJoão, entendi. eu já recebo um POST com os dados do pix pago (não preciso fazer uma nova requisição para obtê-los) . Eu estou integrando usando diretamente a API REST, não estou usando nenhuma SDK. referente a "autenticação mTLS" eu preciso fazer algum procedimento para receber os dados desse POST sem problemas ?
Boa tarde @romuloreis6143 além da configuração do mTLS é basicamente um envio de uma requisição POST para a URL cadastrada.
No link abaixo você encontra exemplos dos body dessas requisições:
https://dev.gerencianet.com.br/docs/api-pix-endpoints#recebendo-callbacks
Na verdade não é a Efí que precisa validar mTLS, é você. o skip-mTLS só desliga um teste que a Efí de se você está validando... mas você tem que validar de qualquer forma para estar de acordo com as regras do Banco Central.
Boa tarde @alexandrecosta1735 tudo certo?
O skip-mtls seguem as seguintes regras:
Se o parâmetro não for enviado, iremos validar mTLS;
Se o parâmetro for enviado e valor igual à true, não validaremos mTLS ;
Se o parâmetro for enviado e valor diferente de true, validaremos mTLS;
Bom dia, @alexandrecosta1735! Sim. Você vai receber a notificação.
Optando por utilizar o atributo skip mTLS, ou seja, sem a validação mTLS no seu servidor, é interessante implementar medidas para garantir que quem está enviando os webhooks ao seu servidor é de fato a Efí. Deixamos em nossa documentação algumas sugestões.
boa noite. se eu configurar o skip-mTLS como true, vou receber as notificações mesmo assim?
Boa tarde @emersongarrido ! So é possivel cadastrar o webhook via API. em nossa documentação, você encontra algumas informações de como configurar o seu servidor. https://dev.gerencianet.com.br/docs/api-pix-endpoints#entendendo-o-padr%C3%A3o-mtls
Precisava verificar se meu webhook está operando normalmente com o skip-mtls, existe alguma outra possibilidade?
se eu for usar o skip-mtls, o endpoint de callback é uma função normal apenas validando o ip de vcs e o hash correto?
3- Sim, consultando o txid e verificando se houve o pagamento você pode confiar. Mas como a ideia do Pix é a confirmação e conciliação do pagamento de forma rápida, é recomendado a implementação do webhook com mTLS para que possa confiar na notificações de pagamentos.
E uma terceira dúvida tb:
3 - O webhook de Pix utiliza mTLS, que pode ser "ignorado" (com Skip-mTLS). Caso seja necessário ignorar, além das opções de validação da documentação, se eu simplesmente considerar somente o txid vindo na requisição, realizar uma consulta à cobrança que eu gerei com esse txid e considerar os valores vindos dessa consulta, já não é suficiente para garantir que estarei processando dados seguros?
Bom dia, @xferbe. Tudo bem?
Isso. A Efí irá fazer 2 requisições para o seu domínio. A primeira sem sem certificado e seu servidor não deverá aceitar a requisição. Na segunda notificação, o seu servidor deve conter a chave pública disponibilizada para realizar o "Hand-Shake" e assim a comunicação ser estabelecida.
Esse certificado não é enviado através do header da requisição, segue o padrão de comunicação mTLS. Nos disponibilizamos alguns exemplo de configuração de servidor: https://dev.gerencianet.com.br/docs/api-pix-endpoints#exemplos-de-configura%C3%A7%C3%B5es-de-servidor
A checagem que a Efí é só um conforto para você saber que está tudo certo. Mas a responsabilidade é sua de seguir as regras... o que o parâmetro faz é desabilitar a checagem, mas você precisaria fazer a checagem mTLS de outro jeito. Por exemplo com seu provedor de hospedagem passando via headers qual o certificado cliente que foi apresentado.