Glossaire
HMAC-SHA256 (signature webhook)
Signature symétrique des payloads webhook
Tous les webhooks Scell.io sont signés HMAC-SHA256 avec le secret du webhook, dans le header `X-Scell-Signature`. La vérification garantit que le payload provient bien de Scell.io et n'a pas été altéré en transit. Exemple : `hmac.create('sha256', secret).update(payload).digest('hex')`.
Exemple de code
import { createHmac, timingSafeEqual } from 'node:crypto';
function verifyWebhook(payload: string, signature: string, secret: string) {
const expected = createHmac('sha256', secret).update(payload).digest('hex');
return timingSafeEqual(Buffer.from(signature), Buffer.from(expected));
}