Webhooks
La Cartrack Fleet API ofrece notificaciones webhook para que su sistema reciba actualizaciones en tiempo real de distintos eventos. Los webhooks permiten una integración fluida al enviar automáticamente datos de eventos a su endpoint especificado cuando ocurre un evento.
Flujos webhook soportados
A día de hoy, la API soporta un conjunto limitado de eventos webhook. Los webhooks no están disponibles para todos los eventos del sistema.
Flujo webhook soportado actualmente:
- Bulk Upload Delivery Jobs: se activa cuando el proceso de creación de jobs se completa
Actualmente no se soportan otros eventos webhook ni otros schemas de datos. Es posible que se introduzcan flujos webhook adicionales en futuras versiones.
Seguridad y verificación
Todas las solicitudes webhook enviadas por Cartrack incluyen el encabezado HTTP X-Webhook-Signature. Esta firma le permite verificar que la solicitud proviene realmente de Cartrack y que no ha sido alterada.
La firma se genera usando el algoritmo HMAC-SHA256 con los siguientes componentes:
- Secret Key: su API key.
- Payload: el body JSON raw de la solicitud (como string antes de cualquier decodificación o parsing).
Proceso de generación de firma
- Codifica el payload JSON (contenido raw) como string UTF-8.
- Aplica hash al payload usando HMAC-SHA256 con su API key como secreto.
Ejemplo (PHP):
$secret = 'your_api_key';
$payload = file_get_contents('php://input');
$signature = hash_hmac('sha256', json_encode($payload), $secret);
if (hash_equals($signature, $_SERVER['X-Webhook-Signature'])) {
// Verified request
} else {
// Invalid signature
}
Se recomienda verificar siempre la firma webhook antes de procesar cualquier solicitud webhook para asegurar integridad de datos y seguridad.