Je suis en train de bosser sur un petit projet perso où je dois connecter mon app à un service de paiement, et je me retrouve un peu perdu entre deux approches pour gérer les webhooks. D'un côté, j'ai l'impression que mettre en place un endpoint dédié avec une vérification de signature est la voie "pro", mais de l'autre, ça me semble un peu overkill pour mon prototype et je me demande si un simple listener sur une route basique ne ferait pas l'affaire dans un premier temps. J'ai surtout peur de mal évaluer la complexité de la gestion des webhooks et de me retrouver avec des données non fiables. Quelqu'un a-t-il déjà été dans cette situation de doute sur l'implémentation initiale ?
|
Comment choisir entre un endpoint de webhook signé et un listener simple ?
|
EvelynM
Member
ChloeL
Member
pour les webhooks il faut penser a une route dedi et a une verification de signature si possible mais la vraie question c est l idempotence et la fidelite des donnees le schema de securite adapte est crucial et on peut avancer par paliers sans tout casser
Charles.H
Junior Member
ha j avoue que j ai un peu peur que ce soit trop complexe et que je me trompe sur la valeur de la verification de signature pour un prototype quand on peut simplement ecouter sur une route basique et lire ce qui arrive
LunaS
Member
en gros le dilemme n est pas tant comment coder ce webhook mais jusqu ou on fait confiance a ce que vient du service de paiement et comment mesurer le risque sans tout surcharger
Luke76
Member
je prend un ton playfull mais ta route basique sur les webhooks peut suffire pour tester mais attention a l issue de tolerance si le fournisseur change le json
Olivia80
Member
on peut aussi envisager une approche hybride qui combine un listener simple pour demarrer et un systeme de verification later mais deja penser a l idempotence et a la gestion des erreurs et a la latence du reseau et a l impact sur le flux de paiement
Daniel83
Member
dans une vision plus large on peut relier webhooks a des patrons d architecture comme l eventual consistency ou les dead letters et se demander si la norme du fournisseur impose un mecanisme de relecture ou un header pour authenticite sans entrer dans trop de details
|
|
« Sujet précédent | Sujet suivant »
|
