Skip to main content
Os callbacks são disparados pelos servidores do Scanify para o callbackUrl que você informou. Garantir que a requisição realmente veio do Scanify é responsabilidade da sua aplicação.

Mecanismos disponíveis

As duas opções podem ser combinadas.

callbackAuthToken (recomendado)

Se você informar callbackAuthToken na requisição original, o Scanify envia esse valor no header Authorization do callback:
Defina um valor secreto e único por endpoint, guarde-o em uma variável de ambiente do seu servidor e compare no recebimento.

signature

Se você informar signature na requisição original, o Scanify reenvia a mesma string, sem modificação, no header:
É útil para correlacionar o callback com a requisição que o originou (ex: codifique aí um id interno).
Este NÃO é um HMAC calculado pelo Scanify. É apenas um eco do valor que você enviou. Não use como assinatura criptográfica.

Idempotência

O Scanify reenvia o callback em caso de falha: até 3 tentativas com backoff exponencial. Sua aplicação deve tratar entregas duplicadas como normais. Use request_id como chave única de deduplicação:

Boas práticas

  • Responda 2xx rapidamente. Processamento pesado deve ir para uma fila no seu lado.
  • Restrinja o endpoint por IP ou região se a sua infraestrutura permitir.
  • Nunca logue o callbackAuthToken em texto claro.
  • Habilite HTTPS no endpoint. HTTP simples é aceito mas não é recomendado.

Para o formato do corpo enviado no callback, veja Callback URL e Payload de resposta.