Segurança de Webhook

Cada pedido webhook do ConsentForge inclui uma assinatura HMAC-SHA256. Verifique esta assinatura antes de processar o payload para garantir que o pedido é genuíno e não foi adulterado.

Cabeçalhos do pedido

Cabeçalho	Descrição
`X-ConsentForge-Signature`	Digest hex HMAC-SHA256 de `{timestamp}.{body}`
`X-ConsentForge-Timestamp`	Timestamp Unix (segundos) quando o evento foi enviado
`X-ConsentForge-Delivery-ID`	ID único para esta entrega (use para idempotência)

Algoritmo de verificação

Leia X-ConsentForge-Timestamp do cabeçalho do pedido
Leia X-ConsentForge-Signature do cabeçalho do pedido
Construa a string de assinatura: {timestamp}.{raw_request_body}
Calcule HMAC-SHA256 da string de assinatura usando o seu segredo webhook
Compare (timing-safe) com a assinatura recebida
Rejeite se o timestamp tiver mais de 5 minutos (proteção contra replay)

Exemplos de código

PHP
Node.js
Python
Ruby

function verifyConsentForgeWebhook(
    string $rawBody,
    string $signature,
    string $timestamp,
    string $secret
): bool {
    // Reject if too old (5 minutes)
    if (abs(time() - (int)$timestamp) > 300) {
        return false;
    }

    $signingString = $timestamp . '.' . $rawBody;
    $expected = hash_hmac('sha256', $signingString, $secret);

    return hash_equals($expected, $signature);
}

// Usage in a Laravel controller:
$rawBody   = $request->getContent();
$signature = $request->header('X-ConsentForge-Signature');
$timestamp = $request->header('X-ConsentForge-Timestamp');
$secret    = config('services.consentforge.webhook_secret');

if (!verifyConsentForgeWebhook($rawBody, $signature, $timestamp, $secret)) {
    return response('Unauthorized', 401);
}

$payload = $request->json()->all();

const crypto = require('crypto');

function verifyConsentForgeWebhook(rawBody, signature, timestamp, secret) {
  // Reject if too old (5 minutes)
  if (Math.abs(Date.now() / 1000 - parseInt(timestamp)) > 300) {
    return false;
  }

  const signingString = `${timestamp}.${rawBody}`;
  const expected = crypto
    .createHmac('sha256', secret)
    .update(signingString)
    .digest('hex');

  return crypto.timingSafeEqual(
    Buffer.from(expected, 'hex'),
    Buffer.from(signature, 'hex')
  );
}

// Usage in Express:
app.post('/webhooks/consentforge', express.raw({ type: '*/*' }), (req, res) => {
  const valid = verifyConsentForgeWebhook(
    req.body.toString(),
    req.headers['x-consentforge-signature'],
    req.headers['x-consentforge-timestamp'],
    process.env.CONSENTFORGE_WEBHOOK_SECRET
  );

  if (!valid) return res.status(401).send('Unauthorized');

  const payload = JSON.parse(req.body);
  // handle payload...
  res.json({ received: true });
});

import hmac
import hashlib
import time

def verify_consentforge_webhook(raw_body, signature, timestamp, secret):
    # Reject if too old (5 minutes)
    if abs(time.time() - int(timestamp)) > 300:
        return False

    signing_string = f"{timestamp}.{raw_body}"
    expected = hmac.new(
        secret.encode('utf-8'),
        signing_string.encode('utf-8'),
        hashlib.sha256
    ).hexdigest()

    return hmac.compare_digest(expected, signature)

# Usage in Flask:
from flask import request, abort
import os

@app.route('/webhooks/consentforge', methods=['POST'])
def handle_webhook():
    raw_body = request.get_data(as_text=True)
    valid = verify_consentforge_webhook(
        raw_body,
        request.headers.get('X-ConsentForge-Signature'),
        request.headers.get('X-ConsentForge-Timestamp'),
        os.environ['CONSENTFORGE_WEBHOOK_SECRET']
    )
    if not valid:
        abort(401)
    payload = request.get_json()
    # handle payload...
    return {'received': True}

require 'openssl'
require 'rack/utils'

def verify_consentforge_webhook(raw_body, signature, timestamp, secret)
  # Reject if too old (5 minutes)
  return false if (Time.now.to_i - timestamp.to_i).abs > 300

  signing_string = "#{timestamp}.#{raw_body}"
  expected = OpenSSL::HMAC.hexdigest('SHA256', secret, signing_string)

  Rack::Utils.secure_compare(expected, signature)
end

# Usage in Rails:
class WebhooksController < ApplicationController
  skip_before_action :verify_authenticity_token

  def consentforge
    raw_body = request.body.read
    valid = verify_consentforge_webhook(
      raw_body,
      request.headers['X-ConsentForge-Signature'],
      request.headers['X-ConsentForge-Timestamp'],
      ENV['CONSENTFORGE_WEBHOOK_SECRET']
    )
    return head :unauthorized unless valid

    payload = JSON.parse(raw_body)
    # handle payload...
    head :ok
  end
end

Idempotência

Use X-ConsentForge-Delivery-ID para deduplicar entregas repetidas. Armazene IDs de entrega processados e ignore duplicados.

Rotação do segredo

Para rodar o seu segredo webhook:

Gere um novo segredo no Painel (segredo antigo ainda ativo por 24h)
Atualize o seu servidor para usar o novo segredo
Após 24h, o segredo antigo é invalidado

Cabeçalhos do pedido​

Algoritmo de verificação​

Exemplos de código​

Idempotência​

Rotação do segredo​

Cabeçalhos do pedido

Algoritmo de verificação

Exemplos de código

Idempotência

Rotação do segredo