Termos mais procurados:
Sim concordo. Não estou questionando a necessidade do webhook em prol do polling. Eu inclusive quero usar o webhook. Só que a restrição do client cert, que ao meu ver poderia ser de uma forma que dependesse menos de acesso a infra sem perder a segurança. A exemplo de como é a do PagSeguro.
Vale lembrar também que a ideia é que se tenha controle do ambiente que seu serviço está hospedado, este é um requisito para ter acesso ao Webhook.
O mTLS faz sentindo. Ainda mais quando se tem volume de transações, se a sua comunicação com o PSP é segura, não tanta há necessidade de checagem do evento (apesar de ser um item de segurança a mais). A questão toda é que um volume alto de transações iria gerar números altos de Webhook + números altos de checagem de Pix recebido, isso poderia bater no ratelimit do PSP.
Ao meu ver, toda essa restrição de segurança no webhook só é necessária porque a requisição que chega nele vem com dados da transação pelo que vi no vídeo. Se a requisição chegasse apenas: "olha só webhook, tem coisa nova lá no txid (ou e2eid) tal, então se vira para achar o que há de novo". Daí a implementação do webhook procuraria os dados "sensíveis" consumindo o serviço específico. Pelo que lembro, a API do Pag Seguro, por exemplo, faz assim. Aí, ao meu ver, não precisaria de tanto "cuidado" com o que chega no webhook, uma vez que a informação vai ser checada na fonte a posteriori.
Eu quero evitar fazer polling no serviço /cob/{txid} , mas se não for possível funcionar o webhook nesse cenário, já que é mandatório o client cert no handshake pelo que entendi, não vai ter jeito ☹️
Pessoal, alguém conseguiu fazer funcionar o handshake com client-cert para o webhook no Heroku? Meu back-end não faz o handshake HTTPS pois já recebe pronto do Heroku, que ao final faz um forward da requisição para meu back-end. Ou seja, meu back-end não participa do handshake. Em princípio essa "limitação" seria comum em cenários de uso em PaaS. Quem está usando webhook está usando servidor dedicado ou está em uma PaaS também? Valeu!
#duvida = qual o formato de cadastro da chave no webhook para celular? esquecí isso kkkk e não sei aonde esta mais na documentação, são tantas hoje.
Pessoal da GerenciaNet boa tarde tudo bem? Por favor estou configurando o webhook da minha aplicação, gostaria de usar o google cloud functions para isso. Porém pelo que li não tem como fazer o mtls lá, é isso mesmo? Teria que usar o App Compute só pra isso?
da forma que é hoje, eu precisaria de um subdominio exclusivo, ou de um nível extra no path só pra diferenciar os webhooks de pix
mas veja só.. se eu tiver um subdominio webhook.exemplo.com.br, e cadastrar a raiz dele, eu vou receber os requests em /pix. ese eu tiver que trancar a garagem inteira, não vou poder usar /paypal , /pagseguro, etc. se estiver exigindo o mTLS da GN na raiz
mas eu posso exigir o mTLS em /webhook e não em /webhook/pix
faz sentido que eu faça isso? não. assim como também não faz sentido testar a URL que não é efetiva.
ainda assim. se o que vai ser acionado de fato é /webhook/pix porque testar /webhook na hora do cadastramento? entendo que tem solução, mas não vejo sentido. se não vai testar a URL efetiva, não deveria testar nada.
É só colocar o path para frente, se quiser compartilhar.
Ex: exemplo.com.br -> site
exemplo.com.br/webhook -> rota para webhook
exemplo.com.br/webhook/pix -> path acionado para pix
mas não faz sentido, pra mim. se eu quiser usar "/" como webhook URL como vou validar (e exigir) o client certificate da GN na raiz? somente a GN poderá entrar no meu site?
Pq o teste é do path. /pix é uma das possíveis rotas do webhook, no momento a única mas é possível que venham outras como /cob, /gnpag etc.
Isso é da cobrança ou dos pix recebidos ? Pq se o Pix vem com txid, deveria acionar o webhook.
Bom dia @everyone quem precisar de exemplo de webhook, gravei um vídeo para ajudar, segue o link: https://youtu.be/qdcrLs7-Y3E . Se ficar alguma dúvida, pode perguntar, pois ficou em resumido e posso ter pulado algumas etapas. Bons códigos amigos.
