Blog / Dev
Dev· 7 min citire· 2026-05-17
Webhooks signed HMAC: cum securizezi integrările tale
Webhooks fără HMAC = vulnerabilitate. Cum configurezi + verifici signatures în Node/Python.
Webhook fără signature verification = atacatorul îți poate trimite request-uri fake. HMAC-SHA256 rezolvă asta cu 5 linii de cod.
Cum trimite Megaforms webhook
POST cu body JSON + header x-megaforms-signature: hex(HMAC-SHA256(body, secret_workspace)).
Cum verifici în Node.js
expected = crypto.createHmac('sha256', WEBHOOK_SECRET).update(rawBody).digest('hex'); if (expected !== req.headers['x-megaforms-signature']) throw new Error('Invalid sig');Retry behavior
Megaforms re-trimite cu exponential backoff (1s, 5s, 25s, 2min, 10min, 1h, 6h, 24h). Maxim 8 încercări.
Events disponibile
session.started, answer.submitted, session.completed, questionnaire.created, questionnaire.published.
#webhooks#security#hmac