Tenho essa mesma dúvida...
Termos mais procurados:
Histórico de mensagens em sugestões
PROCURE NO HISTÓRICO
CANAIS DE TEXTO
DISCUSSÕES
- Inserção automática do formato do Pix copia e cola pelo WhatsApp
- Conceito de Payload Locations no PIX
- Repetição do Processo de Criação com txid
- Configuração de URLs para Recebimento de Status
- Implementação do Módulo Gerencianet no Perfex CRM
- Consulta de Chave PIX na API de Envio
- Endpoint para Recuperar Saldo
- Implementação da SDK do Pix em Next.js ou React
- Problemas com Token em Ambiente de Homologação
- Recebimento de Pagamentos via QR Code e Arduino
- Interpretação do Campo 'Solicitação ao Pagador' no Webhook GN
- Atualização de informações no Retentiva de Cobrança
- Teste de Status de Pagamento em Ambiente de Homologação
- Autenticação com Certificado em NextJS
- Tempo Médio de Análise de Documentos na Abertura de Conta
- Utilização de Endpoints e Payload no Pix
- Integrações com o Laravel e SDK de PHP da EFI
- Cobrança em Período de Teste Grátis de 7 dias
- Geração de payment_token pelo Postman e teste em homologação
- Especificação da URL do Webhook no Exemplo Pix
- Retenção de Pagamento no PIX em Marketplace
- Resolução de Delay nas Chamadas de Geração de QR Code e Pix em Node
- Cancelamento de Boleto e Remoção do DDA
- Integração da API do Pix em Sistema Próprio
- Acionamento de Webhooks em Pagamentos e Devoluções
EXIBINDO CONVERSAS RECENTES:
Canal: sugestões
e qual o risco que existe para o PSP em mandar um request pra uma URL sem mTLS que não existe com o mTLS? é o EC que tem que confiar ou não. tinha que ser opção do EC.
Na verdade, .webhook.pix.ae. Precisa do servername para decidir qual certificado apresentar.
Ah sim, pois a transfere a lógica do transporte para a aplicação. Eu ainda não sei afirmar se isso foi consequência de não pensar em ambientes desse tipo, ou by design de achar que esses ambientes seriam um risco sistêmico maior.
a questão do cliente precisar ter mTLS é relativamente fácil de contornar. eu poderia oferecer um serviço que recebe o callback com mTLS e repassa pro EC sem essa exigência, por exemplo 😝
jwt é dividido em 3 partes separadas por um ponto (parteA.parteB.parteC). pega a parteB, dá um decode (base64) e pronto. é só ignorar o resto (o certo seria validar a assinatura do conjunto, mas não fazem isso)
Mas pelo menos será factível. Esse problema de hospedagem compartilhada, de não poder mexer no nginx pois aplicaria-se o mtls em tudo, o cliente não tá tendo pra onde correr...
https://tenor.com/view/fortune-teller-crystall-ball-psychic-clairvoyant-gif-5100696
Minha percepção extra-sensorial diz que o povo vai apanhar para decodificar (validando) JWT
abrir é fácil. o que é difícil é validar a assinatura (e quem tiver dificuldade vai simplesmente ignorar, o que é mais inseguro)
Pra nós, tecnicamente, tudo bem em enviar somente txid. Mas se tiver uma forma de já entregar a informação completa pro EC, melhor ainda...
Mudar de JSON para JWT ? Só precisa ver se o povo vai conseguir abrir JWT direito... até os PSPs estão sofrendo.
acho que faz sentido. se for uma renúncia do cliente, a GN nao está deixando de cumprir com a determinação de segurança do BACEN. levem ao Bacen pra ver no que dá.
mas até que o Bacen confirme isso, eu vejo essa possibilidade de bypass (seja no PUT ou no próprio callback) como uma mera facilitação do processo de cadastro do webhook (útil principalmente quando tem um terceiro no processo, além da GN e o EC). não vejo utilidade prática nenhuma enquanto o Bacen exige mTLS nos callbacks
#brainstorm
E se viesse tudo o que vem hoje, porém criptografado com o client_secret? (teoricamente é uma informação que só a gn conhece)