Skip to main content
Suivez ces recommandations pour une implémentation robuste et sécurisée des webhooks.

Sécurité

1. Toujours vérifier la signature

Ne traitez jamais un webhook sans vérifier sa signature :

2. Utiliser HTTPS

Votre endpoint doit toujours être en HTTPS :
https://api.votresite.com/webhook
http://api.votresite.com/webhook - Non sécurisé !

3. Valider le timestamp

Vérifiez que le webhook n’est pas trop ancien (protection contre les replay attacks) :

Idempotence

Problème

CaurisFlux peut envoyer le même webhook plusieurs fois (retries). Votre code doit gérer cela.

Solution : Stocker les webhooks traités

Alternative : Vérifier l’état actuel

Performance

1. Répondre rapidement

Les webhooks doivent être traités en moins de 5 secondes. Répondez d’abord, traitez ensuite :

2. Utiliser une file d’attente

Pour les traitements lourds, utilisez une file d’attente :

Gestion des erreurs

1. Logger tout

2. Alertes en temps réel

Configurez des alertes pour :
  • Webhooks non traités
  • Signatures invalides répétées
  • Erreurs de traitement

Retries et résilience

Politique de retry de CaurisFlux

Si votre serveur ne répond pas avec un code 2xx, CaurisFlux réessaie :
TentativeDélai
1Immédiat
21 minute
35 minutes
430 minutes
52 heures
Après 5 tentatives échouées, le webhook est marqué comme non livré.

Gérer les retries côté serveur

Checklist

Avant de passer en production, vérifiez :

Exemple complet

Prochaine étape

Consultez la liste des événements webhook pour connaître tous les types d’événements disponibles.