مراجعv1التكاملات
استقبال Webhooks بأمان
تحقق من التوقيع قبل parsing، أعد 2xx بسرعة، ثم عالج عبر inbox قابل لإعادة التشغيل.
التحقق أولًا
اقرأ raw body، تحقق من timestamp وsignature وevent id، ثم parse. أي تغيير في body قبل التحقق يكسر canonical signature.
raw_body -> timestamp window -> signature -> event_id dedupe -> parse -> enqueueدلالة التسليم
تعامل مع الويبهوك كـat-least-once. قد يصل الحدث أكثر من مرة أو خارج الترتيب، لذا خزّن event_id في inbox بقيد فريد.
- أعد 2xx بعد التخزين الآمن لا بعد اكتمال كل business work.
- أعد 4xx فقط للرفض الدائم و5xx للفشل الانتقالي.
- لا تفترض ترتيب الوصول؛ قارن version أو occurred_at حسب العقد.
تدوير السر
ادعم نافذة قصيرة يقبل فيها السر الحالي والسابق، وراقب استخدام القديم، ثم ألغِه بعد اكتمال التدوير.