01
Por que a segurança de webhooks da Meta exige atenção especial
Um webhook é um endpoint HTTP público. Qualquer pessoa na internet pode enviá-lo um POST forjado. Sem verificação de assinatura, seu sistema processaria mensagens falsas, eventos duplicados e payloads maliciosos como se fossem legítimos. A Meta resolve isso assinando cada requisição com HMAC SHA-256 usando o App Secret, e cabe a você validar essa assinatura antes de confiar em qualquer byte do corpo.
Além da assinatura, há três outras camadas que separam uma integração amadora de uma integração de produção: credenciais segregadas e rotacionáveis, limites de taxa para conter abuso e uma trilha de auditoria que permite reconstruir o que aconteceu sem vazar dados pessoais.
Internet --> [Edge / WAF] --> [Verificação HMAC] --> [Rate limit] --> [Handler]
| | |
bloqueia rejeita 401 rejeita 429
payload bruto assinatura excedeu cota
inválida