Webhook

Webhook

Vous pouvez gérer vos webhooks en allant dans les paramêtres et dans l’onglet Webhook. Vous pouvez créer, afficher, supprimer vos wehbook.

Aperçu du tableau de bord

Chaque notification est signée par l’API à l’aide du secret du webhook :

X-Signature-Value: HMAC_SHA256(body, secret)

Côté marchand, vous devez recalculer cette signature pour vérifier l’intégrité du message :

const crypto = require('crypto');
 
const signature = crypto.createHmac('sha256', secret).update(JSON.stringify(body)).digest('hex');
 
if (signature !== headers['x-signature-value']) {
  throw new Error('Invalid signature');
}

Diagramme de Notification Webhook

Bonnes Pratiques

  • Toujours retourner un HTTP 200 OK dans les 5 secondes pour éviter les relances.
  • Vérifier la signature HMAC avant de traiter la donnée.
  • Utiliser un endpoint dédié et sécurisé (HTTPS obligatoire).
  • Gérer la rejouabilité (idempotence) de chaque webhook via le champ eventId (optionnel).
  • Mettre en place une file d’attente ou un traitement asynchrone côté marchand pour éviter les blocages.
API Keys