مراجعv1التكاملات

استقبال Webhooks بأمان

تحقق من التوقيع قبل parsing، أعد 2xx بسرعة، ثم عالج عبر inbox قابل لإعادة التشغيل.

التحقق أولًا

اقرأ raw body، تحقق من timestamp وsignature وevent id، ثم parse. أي تغيير في body قبل التحقق يكسر canonical signature.

Verification order
raw_body -> timestamp window -> signature -> event_id dedupe -> parse -> enqueue

دلالة التسليم

تعامل مع الويبهوك كـat-least-once. قد يصل الحدث أكثر من مرة أو خارج الترتيب، لذا خزّن event_id في inbox بقيد فريد.

  • أعد 2xx بعد التخزين الآمن لا بعد اكتمال كل business work.
  • أعد 4xx فقط للرفض الدائم و5xx للفشل الانتقالي.
  • لا تفترض ترتيب الوصول؛ قارن version أو occurred_at حسب العقد.

تدوير السر

ادعم نافذة قصيرة يقبل فيها السر الحالي والسابق، وراقب استخدام القديم، ثم ألغِه بعد اكتمال التدوير.