Assinaturas

Headers
Como a assinatura é calculada
Exemplo conceitual em Node.js
Boas práticas

Cada entrega de webhook inclui headers para identificação, deduplicação e assinatura.

Headers

Header	Descrição
`x-atriby-event`	Evento enviado, como `order.paid`.
`x-atriby-delivery`	ID único da entrega.
`x-atriby-timestamp`	Timestamp usado na assinatura.
`x-atriby-signature`	`sha256=<hmac>`.

Como a assinatura é calculada

HMAC_SHA256(secret, timestamp + "." + rawBody)

O valor final é enviado como:

sha256=<hex>

Exemplo conceitual em Node.js

import crypto from "node:crypto"

function verifyWebhook({ secret, timestamp, rawBody, signature }) {
  const expected =
    "sha256=" +
    crypto
      .createHmac("sha256", secret)
      .update(`${timestamp}.${rawBody}`)
      .digest("hex")

  return crypto.timingSafeEqual(
    Buffer.from(signature),
    Buffer.from(expected),
  )
}

Use o raw body original. Se você fizer parse JSON antes de validar e serializar novamente, a assinatura pode não bater.

Boas práticas

Rejeite timestamps antigos.
Deduplicate por x-atriby-delivery.
Responda 2xx apenas depois de aceitar o evento.
Guarde o segredo em cofre/variável de ambiente.

Visão geral Logs de entrega

⌘I

Comece aqui

Orders API

Script de UTMs

Webhooks

Links UTM

Guias

Segurança

Status e limites

Headers

Como a assinatura é calculada

Exemplo conceitual em Node.js

Boas práticas

Comece aqui

Orders API

Script de UTMs

Webhooks

Links UTM

Guias

Segurança

Status e limites

Documentation Index

​Headers

​Como a assinatura é calculada

​Exemplo conceitual em Node.js

​Boas práticas

Headers

Como a assinatura é calculada

Exemplo conceitual em Node.js

Boas práticas