Guía General de Webhooks

1. Definiciones

Webhook

Los Webhooks son callbacks HTTP definidos por el usuario, que reciben eventos para los tipos de eventos a los que están suscritos. Los Webhooks son asíncronos, el orden no esta garantizado y la idempotencia puede conducir al mismo resultado al ser enviado más de una vez. La configuración de Webhooks incluye: habilitar y deshabilitar.

Evento

Los eventos se clasifican en tipos de eventos. Los eventos pueden ser causados por cambios en el estado de un recurso, como cuando un pago cambia de estado de registrado para completado. Cuando se produce un evento, Pagadito notifica a través de una petición POST HTTP en el Webhook registrado. El POST contiene los detalles del evento y el recurso completo, incluyendo el tipo de evento que causó el evento.

Tipos de Eventos

Los tipos de eventos son los diferentes disparadores que suceden en una cuenta de Pagadito Comercio, como un pago que es completado.

2. Configuración de Webhooks

Para utilizar Webhooks en Sandbox o en ambiente de producción, haga los siguiente:

1. Diríjase al panel de su cuenta Pagadito Comercio.
2. Diríjase a Webhooks en la sección de Configuración técnica.
3. Habilite el envío de notificaciones vía Webhooks.
4. Agregue la URL del Webhook.
5. Guarde la configuración de Webhooks.

Una vez guardado aparecerá un mensaje de Webhook configurado con éxito y podrá ver la URL de su Webhook.

3. Tipos de Eventos

Los tipos de eventos son los diferentes disparadores que suceden en una cuenta de Pagadito Comercio, como un pago completado.

Tipos de Eventos Soportados

Los tipos de eventos soportados actualmente son los siguientes:

• TRANSACTION.STATUS.CHANGE: Este evento es disparado cuando un pago es registrado, también cuando un pago cambia de estado a completado, en verificación, rechazado y expirado.

4. Eventos

Los eventos son notificaciones que se envían a la URL del Webhook para disparadores específicos en la cuenta Pagadito Comercio, como un pago completado.

Información de Eventos

Cuando un evento ocurre, Pagadito envía la infomación del evento codificada en formato JSON utilizando un POST HTTP hacia la aplicación en la URL que usted especifico. Si la aplicación no está disponible o toma demasiado tiempo para responder (sucede un timeout), Pagadito cancela la petición y reintenta 20 veces durante 3 días.

El parámetro event_type en el mensaje indica el disparador del evento.

Seguridad de los Eventos

Cada uno de los eventos enviados a las aplicaciones son firmados.

Firma de los Eventos

Ya que teóricamente cualquiera podría enviar un POST HTTP a su aplicación, es importante verificar que:

• El evento Webhook se origino desde Pagadito.
• El evento Webhook no fue alterado/corrompido durante la transmisión.
• El evento Webhook efectivamente era dirigido a el destinatario.

Por lo tanto, los eventos Webhook contendrán una cabecera que contiene una firma del mensaje. El destinatario del evento Webhook puede opcionalmente validar esa firma.

Los eventos son firmados y entregados como un mensaje por HTTP. Las siguientes cabeceras se utilizan para proporcionar información para la validación de la firma.

• PAGADITO-SIGNATURE especifica la firma asimétrica generada por Pagadito codificada en Base 64.
• PAGADITO-AUTH-ALGO especifica el algoritmo utilizado para generar y verificar la firma asimétrica.
• PAGADITO-CERT-URL especifica la dirección URL para descargar el certificado de llave pública X509 para ser utilizado en el proceso de verificación.

La firma se genera mediante la concatenación de cinco partes diferentes con | (barra vertical) siendo el separador entre las partes. Los detalles de las partes individuales son los siguientes:

• ID Notifiación: Identificador único de la notificación HTTP. Contenida en la cabecera PAGADITO-NOTIFICATION-ID del evento Webhook.
• Timestamp Notificación: Timestamp de la notificación HTTP. Contenida en la cabecera PAGADITO-NOTIFICATION-TIMESTAMP del evento Webhook.
• ID Evento: Este es el id del evento del Webhook que se entrega el cuerpo del evento.
• Cyclic Redundancy Check (CRC32): checksum CRC32 para el cuerpo de la petición HTTP.
• WSK: Web Service Key de la cuenta Pagadito Comercio, este dato puede encontrarlo en el panel de su cuenta Pagadito Comercio, diríjase a Parámetros de integración en la sección de Configuración técnica, en el apartado de Credenciales de Conexión.

Así, la cadena de entrada para validar la firma tendría la siguiente forma: IdNotificacion|TimestampNotificacion|IdEvento|CRC32|WSK

El algoritmo de autenticación especificado en PAGADITO-AUTH-ALGO utiliza un algoritmo de firma asimétrica. Esto permite a Pagadito utilizar una llave privada para crear la firma en PAGADITO-SIGNATURE, mientras que le permite a usted utilizar una llave pública contenida en el certificado cuya ruta se define en PAGADITO-CERT-URL para verificar el evento Webhook.

El siguiente código PHP combina las cabeceras y cadena de entrada para realizar la verificación.

Respuesta de los Eventos

Cuando una aplicación recibe el evento, debe responder con un código de estado HTTP de nivel 200. Si se responde con cualquier otro código de respuesta, Pagadito seguirá intentando entregar el evento de nuevo 20 veces en el transcurso de 3 días.