HomeGuiaAPI ReferenceNovidadesComunidade
Comunidade
These docs are for v1.0. Click to read the latest docs for v4.1.

Comunidade

Ask a Question
Back to all

Autenticidades de notificações de pagamentos recorrentes

8 days ago by Marcos Avila

Olá, equipe PagBank.

Estamos integrando os webhooks de Pagamentos Recorrentes e precisamos confirmar como validar a autenticidade das notificações recebidas.

Nos webhooks reais do sandbox estamos recebendo o header:

X-Payload-Signature

Exemplo:
MEYCIQD55A+GNgDtCP47K2ilGW72hSQOqiSMZXlfwB7rSQ/hjAIhAL5o7fx6ErYy16saFJ/mLgZiDMRpfPEN9/IgaASaSEdc

O problema é que a documentação pública de “Confirmar autenticidade da notificação” fala em x-authenticity-token com SHA-256 sobre token + "-" + payload, mas isso não corresponde ao que estamos recebendo nos webhooks de Pagamentos Recorrentes.

Também consultamos o endpoint GET /public-keys de Pagamentos Recorrentes, que retorna uma chave pública RSA, mas a assinatura recebida no X-Payload-Signature aparenta ter outro formato.

Poderiam confirmar, por favor:

  1. Qual é o método correto para validar o header X-Payload-Signature nos webhooks de Pagamentos Recorrentes?
  2. Qual algoritmo deve ser usado?
  3. O conteúdo assinado é o corpo bruto da requisição exatamente como recebido?
  4. A validação usa alguma chave pública? Se sim, qual endpoint ou fluxo devemos usar para obtê-la?
  5. O endpoint /public-keys é o correto para essa validação?

Se existir documentação específica ou exemplo oficial para essa validação, podem nos encaminhar?

Obrigado.

© 1996- Todos os direitos reservados.

PAGSEGURO INTERNET INSTITUIÇÃO DE PAGAMENTO S/A - CNPJ/MF 08.561.701/0001-01

Av. Brigadeiro Faria Lima, 1.384, São Paulo - SP - CEP 01451-001