Boas práticas
Recomendações para implementar o receptor de webhooks de forma confiável e segura.
Responder rapidamente
Responda com HTTP 2xx o mais rápido possível (recomendado em menos de 5 segundos). Processe o evento de forma assíncrona em uma fila ou job em background, e não bloqueie a resposta até concluir todo o processamento.
Idempotência
O mesmo evento pode ser reenviado em caso de retentativa. Use um identificador único do evento (ex.: eventId oudeliveryId) para ignorar processamentos duplicados e evitar efeitos colaterais (ex.: creditar saldo duas vezes).
Validação da origem
(Definir: se a API envia header de assinatura para validar que a requisição veio do OnnixPay. Caso sim, sempre valide a assinatura antes de processar.)
Atenção
Não exponha lógica sensível apenas na confiança da URL. Sempre valide assinatura quando disponível e trate payloads malformados retornando 4xx sem processar.