Histórico de mensagens em pix

pra contornar isso

mas ai vou fazer um autenticação simples no meu endpoint aqui

isso que pensei

a brecha que existe - pouco explorável - é que outros clientes podem definir a sua URL de webhook para as chaves deles, e recebimentos deles acionarem o seu webhook intencionalmente

não entendi se a sua preocupação é por ser ou por não ser único. pois ele é único no caso dos webhooks (o que é diferente entre cada cliente é o certificado de consumo da API; enquanto o dos webhooks é único para todos os clientes)

ou to errado?

vai aceitar

se caso alguem pegar o mesmo certificado e mandar a requisiçao pro meu enpoint do webhook

no caso o certificado que colocamos pra dentro do mTls

mas o que acontece é que o certificado que eles disponibilizaram não é unico

até ai tudo bem

se o request não for enviado com a chave privada da GN, seu sistema já barra por falta do mTLS, então o request nem chega "no seu código" pra vc fazer esse tipo de validação

eu estou fazendo a validação por meio do mTLS

poise

você já tem essa validação por meio do mTLS, no caso do Pix. não precisa validar headers dessa forma

pra validar o postback

$signature = $_SERVER['HTTP_X_HUB_SIGNATURE'];
$isValidPostback = $pagarme->postbacks()->validate($requestBody, $signature);

que era mais ou menos isso

la no pagarme eles tinham uma segunraça a mais no postback

senti falta aqui de uma coisa