Webhooks

Webhooks são POSTs HTTPS que o DeFlow envia para seu endpoint quando eventos ocorrem (depósito pago, saque enviado, etc).

Cadastre URLs e eventos via painel /developers ou endpoint POST /api-keys/:keyId/webhooks. Você recebe um secret no momento da criação — guarde, não é exibido novamente.

Todo POST inclui header X-DF-Webhook-Signature com HMAC-SHA256(raw_body, secret). Verifique usando comparação timing-safe antes de processar.

POST /api-keys/:keyId/webhooks/:id/rotate-secret gera novo secret. Operação exige MFA step-up.

Tentativas com backoff exponencial até 5 vezes. Após esgotar, evento marcado como failed e fica disponível para replay manual.

Cada evento tem id único. Deduplique no seu lado mantendo um cache de event.ids processados recentemente.