Quando um webhook entrega dados ao seu sistema, é importante ter certeza de que aquele aviso veio mesmo do WiseData Leads e não foi alterado no caminho. É para isso que serve o secret: um código exclusivo do seu webhook que permite ao seu servidor validar a autenticidade de cada envio.
O secret aparece uma única vez
Ao criar um webhook (ou ao rotacionar o secret), a plataforma mostra o código em uma janela com o aviso "Copie agora! Esse secret não será exibido novamente.". Copie e guarde em local seguro nesse momento — por segurança, ele fica armazenado de forma protegida e não é exibido de novo. Se você perder o secret, a saída é rotacionar para gerar um novo (veja abaixo).
Como o seu servidor valida cada envio
Cada webhook enviado chega ao seu sistema como uma requisição com:
Um corpo (body) em JSON com os dados do lead (Content-Type
application/json).Um header Signature, que contém uma assinatura HMAC-SHA256 calculada a partir do conteúdo da requisição usando o seu secret.
Um header Timestamp, com o momento do envio.
No seu servidor, a validação funciona assim: ao receber a requisição, você recalcula a assinatura do corpo recebido usando o mesmo secret e compara com o valor do header Signature. Se os dois baterem, o envio é autêntico e não foi adulterado; se não baterem, descarte a requisição. Essa checagem evita que alguém finja ser o WiseData Leads ou altere os dados em trânsito.
Rotacionar o secret
Rotacionar significa gerar um novo secret no lugar do atual. Faça isso se desconfiar que o secret vazou ou simplesmente como boa prática periódica. Na lista de webhooks, use a ação Rotacionar secret.
Atenção a um ponto importante: assim que você rotaciona, o secret antigo deixa de funcionar imediatamente. Por isso, atualize o secret no seu servidor logo após gerar o novo — caso contrário, suas validações vão começar a falhar até você atualizar. O novo secret também é exibido uma única vez, então copie-o na hora.
Boas práticas de segurança
Trate o secret como uma senha: guarde-o em um local seguro do seu servidor, nunca no navegador nem em código público.
Sempre valide a assinatura antes de confiar nos dados recebidos.
Use sempre uma URL https no destino do webhook.
Resumindo: o secret é a chave que prova que o webhook veio do WiseData Leads. Copie-o no momento em que aparece (uma única vez), use-o no seu servidor para conferir a assinatura HMAC-SHA256 do header Signature de cada envio e, ao rotacioná-lo, atualize o seu servidor imediatamente, pois o anterior para de valer na hora.