Pular para o conteúdo principal

Verificação de segurança

Após cadastrar seu webhook, é necessário implementar uma verificação de segurança por meio da checagem da assinatura enviada pela API da DFranquias Pay juntamente com a carga útil da notificação.

Assinaturas

A assinatura de uma notificação é um hash gerado pela nossa API utilizando o momento em que a notificação foi enviada, a carga útil e a própria ID do webhook notificado, de modo a garantir ao usuário a autenticidade da notificação - isto é, a garantia de que a notificação veio de fato da DFranquias Pay.

Verificando a assinatura

Em cada notificação enviada pela nossa API, enviamos um cabeçalho HTTP chamado X-DFPay-Signature contendo a assinatura da requisição. Para garantir que ela é válida, disponibilizamos o endpoint de verificação.

Para realizar o procedimento corretamente, utilize a ID do seu webhook salva anteriormente como parâmetro do endpoint, e envie a assinatura da mesma forma que foi recebida no campo signature e a string JSON recebida sem nenhum tratamento adicional no campo payload.

Caso a resposta seja HTTP 200 OK, significa que está tudo certo e o processamento dos dados pelo seu sistema pode continuar sem problemas. Caso contrário, interrompa a execução do endpoint imediatamente, pois isso significa que a requisição não é autêntica e provavelmente não veio dos nossos servidores.