Chaindoc-Webhooks

Erhalte Echtzeit-Benachrichtigungen, wenn Ereignisse in deinem Chaindoc-Konto auftreten. Webhooks übertragen Ereignisdaten sofort an deinen Server, sodass keine Abfragen mehr erforderlich sind.

Anforderungen

Business-Plan-Abonnement (nur Nutzer des Business-Plans können Webhooks konfigurieren) HTTPS-Endpunkt auf deinem Server Öffentlich zugängliche URL (Webhooks können nicht an localhost gesendet werden)

Überblick

Mit Chaindoc Webhooks kann deine App Echtzeit-Benachrichtigungen bekommen, wenn in deinem Konto was passiert. Anstatt die API abzufragen, schicken Webhooks die Ereignisdaten direkt an deinen Server, sobald was passiert.

Wichtigste Funktionen

Echtzeit-Benachrichtigungen – Sofortige Übermittlung von Ereignissen an deinen Server
Automatische Wiederholungsversuche – Bis zu 3 Wiederholungsversuche mit exponentiellem Backoff
Signaturüberprüfung – HMAC SHA256 für die Authentizität der Nutzdaten
Ereignisfilterung – Erhalte nur die Ereignisse, die dich interessieren.
Fehlerverfolgung – Überwache den Zustellstatus und Fehler von Webhooks.

Anwendungsfälle

Schick E-Mail-Benachrichtigungen, wenn Dokumente unterschrieben sind.
Löse Workflows aus, wenn Dokumente in der Blockchain überprüft werden.
Aktualisiere deine Datenbank, wenn Signaturanfragen erstellt werden.
Synchronisiere den Dokumentstatus mit externen Systemen.
Prüfpfad und Compliance-Protokollierung

Einrichtung

Schritt 1: API-Schlüssel erstellen

Geh in deinem Chaindoc-Dashboard zu „Einstellungen“ → „API-Zugriff“ und erstelle einen API-Schlüssel mit aktivierter Webhook-Konfiguration.

Schritt 2: Webhook-URL einrichten

Nutze die API, um deinen Webhook-Endpunkt zu konfigurieren:

terminal

curl -X PATCH https://api.chaindoc.io/user/api-access/1/config \
  -H "Authorization: Bearer your_auth_token" \
  -H "Content-Type: application/json" \
  -d '{
    "webhookUrl": "https://yourapp.com/webhooks/chaindoc",
    "webhookEnabled": true,
    "webhookSecret": "your_secure_random_string"
  }'

Schritt 3: Webhook-Endpunkt einrichten

Erstelle einen Endpunkt auf deinem Server, um Webhook-Ereignisse zu empfangen. Hier sind Beispiele in verschiedenen Sprachen:

const express = require('express');
const crypto = require('crypto');

const app = express();
app.use(express.json());

app.post('/webhooks/chaindoc', (req, res) => {
  const signature = req.headers['x-webhook-signature'];
  const eventType = req.headers['x-webhook-event'];
  
  // Verify signature
  if (!verifySignature(req.body, signature, process.env.WEBHOOK_SECRET)) {
    return res.status(401).send('Invalid signature');
  }
  
  // Process event
  console.log('Received event:', eventType, req.body);
  
  // Handle different event types
  switch (eventType) {
    case 'document.created':
      handleDocumentCreated(req.body);
      break;
    case 'document.verified':
      handleDocumentVerified(req.body);
      break;
    case 'signature.request.completed':
      handleSignatureCompleted(req.body);
      break;
  }
  
  // Always respond with 200 OK
  res.status(200).send('Webhook received');
});

function verifySignature(payload, signature, secret) {
  const hmac = crypto.createHmac('sha256', secret);
  const digest = hmac.update(JSON.stringify(payload)).digest('hex');
  return crypto.timingSafeEqual(
    Buffer.from(signature),
    Buffer.from(digest)
  );
}

app.listen(3000);

Veranstaltungstypen

Chaindoc sendet Webhooks für die folgenden Ereignisse:

document.created

Wird ausgelöst, wenn ein neues Dokument über die API erstellt wird.

terminal

{
  "event": "document.created",
  "documentId": "86840ee4-8bf2-4a91-a289-e99d8307ec25",
  "name": "Service Agreement",
  "timestamp": "2024-12-04T10:30:00.000Z"
}

document.verified

Wird ausgelöst, wenn ein Dokument erfolgreich in der Blockchain verifiziert wurde.

terminal

{
  "event": "document.verified",
  "documentId": "86840ee4-8bf2-4a91-a289-e99d8307ec25",
  "versionId": "f0b7721f-0399-4035-9b69-7b95d3a367f0",
  "txHash": "0x789ghi...",
  "chainId": 137,
  "timestamp": "2024-12-04T10:35:00.000Z"
}

document.signed

Wird ausgelöst, wenn alle erforderlichen Unterschriften gesammelt sind.

terminal

{
  "event": "document.signed",
  "documentId": "86840ee4-8bf2-4a91-a289-e99d8307ec25",
  "signatureRequestId": "req_21096b94498f4a2d9795e810edc2c9a9",
  "signers": [
    {
      "email": "signer1@example.com",
      "signedAt": "2024-12-04T10:30:00.000Z"
    },
    {
      "email": "signer2@example.com",
      "signedAt": "2024-12-04T10:32:00.000Z"
    }
  ],
  "timestamp": "2024-12-04T10:32:00.000Z"
}

signature.request.created

Wird ausgelöst, wenn eine neue Signaturanforderung erstellt wird.

terminal

{
  "event": "signature.request.created",
  "signatureRequestId": "req_21096b94498f4a2d9795e810edc2c9a9",
  "documentId": "86840ee4-8bf2-4a91-a289-e99d8307ec25",
  "recipients": [
    {"email": "signer1@example.com"},
    {"email": "signer2@example.com"}
  ],
  "deadline": "2024-12-31T23:59:59.000Z",
  "timestamp": "2024-12-04T10:30:00.000Z"
}

signature.request.completed

Wird ausgelöst, wenn alle Unterzeichner ihre Unterschriften fertiggestellt haben.

terminal

{
  "event": "signature.request.completed",
  "signatureRequestId": "req_21096b94498f4a2d9795e810edc2c9a9",
  "documentId": "86840ee4-8bf2-4a91-a289-e99d8307ec25",
  "completedAt": "2024-12-04T10:32:00.000Z",
  "timestamp": "2024-12-04T10:32:00.000Z"
}

signature.request.rejected

Wird ausgelöst, wenn ein Unterzeichner die Signaturanforderung ablehnt.

terminal

{
  "event": "signature.request.rejected",
  "signatureRequestId": "req_21096b94498f4a2d9795e810edc2c9a9",
  "documentId": "86840ee4-8bf2-4a91-a289-e99d8307ec25",
  "rejectedBy": "signer1@example.com",
  "reason": "Terms not acceptable",
  "timestamp": "2024-12-04T10:30:00.000Z"
}

Sicherheit

Signaturüberprüfung

Chaindoc signiert alle Webhook-Nutzdaten mit HMAC SHA256. Überprüfe immer die Signaturen, um die Echtheit sicherzustellen und Replay-Angriffe zu verhindern.

Sicherheits-Best-Practices

Benutze immer zeitlich sichere Vergleichsfunktionen. Überspring niemals die Signaturüberprüfung in der Produktion. Pass auf dein Webhook-Geheimnis auf. Dreh die Geheimnisse regelmäßig durch. Benutz nur HTTPS-Endpunkte.

So funktioniert die Signaturüberprüfung

1Chaindoc erstellt SignaturChaindoc erstellt eine HMAC-Signatur mit deinem Webhook-Geheimnis.

2Signatur im Header gesendetDie Signatur wird im X-Webhook-Signature-Header gesendet.

3Dein Server überprüftDein Server berechnet die Signatur neu und vergleicht sie mit einer zeitgesteuerten Funktion.

const crypto = require('crypto');

function verifyWebhookSignature(payload, signature, secret) {
  const hmac = crypto.createHmac('sha256', secret);
  const digest = hmac.update(JSON.stringify(payload)).digest('hex');
  
  // Use timing-safe comparison to prevent timing attacks
  return crypto.timingSafeEqual(
    Buffer.from(signature),
    Buffer.from(digest)
  );
}

// Usage
const isValid = verifyWebhookSignature(
  req.body,
  req.headers['x-webhook-signature'],
  process.env.WEBHOOK_SECRET
);

if (!isValid) {
  return res.status(401).send('Invalid signature');
}

Logik für Wiederholungsversuche

Chaindoc versucht automatisch, fehlgeschlagene Webhook-Übermittlungen mit exponentiellem Backoff erneut.

1. Wiederholungsversuch: Nach 1 Minute
2. Versuch: Nach 5 Minuten (insgesamt: 6 Minuten)
3. Versuch: Nach 15 Minuten (insgesamt: 21 Minuten)

Erfolgskriterien

Dein Endpunkt gibt den HTTP-Statuscode 200-299 zurück. Dein Endpunkt antwortet innerhalb von 30 Sekunden. Es dürfen keine Netzwerkfehler während der Übertragung auftreten.

Webhooks testen

Lokale Entwicklung

Nutze Tools wie ngrok, um deinen lokalen Server für Webhook-Tests freizugeben:

terminal

# Install ngrok
npm install -g ngrok

# Start your local server
node server.js

# Expose port 3000
ngrok http 3000

# Use the ngrok URL as your webhook endpoint
# Example: https://abc123.ngrok.io/webhooks/chaindoc

Manuelles Testen

Teste deinen Webhook-Endpunkt mit einer Beispiel-Nutzlast:

terminal

curl -X POST https://yourapp.com/webhooks/chaindoc \
  -H "Content-Type: application/json" \
  -H "X-Webhook-Event: document.created" \
  -H "X-Webhook-Signature: test_signature" \
  -d '{
    "event": "document.created",
    "documentId": "test-123",
    "name": "Test Document",
    "timestamp": "2024-12-04T10:30:00.000Z"
  }'

Bewährte Vorgehensweisen

Überprüfe immer die Webhook-Signaturen, bevor du sie weiterverarbeitest.
Antworte schnell (innerhalb von 30 Sekunden), um Zeitüberschreitungen zu vermeiden.
Verarbeite Webhooks asynchron in einer Warteschlange.
Sorg dafür, dass doppelte Ereignisse durch Idempotenz behandelt werden.
Protokolliere alle Webhook-Ereignisse für Debugging und Audits.
Beobachte Fehler bei der Webhook-Zustellung in deinem Dashboard.
Verwende aus Sicherheitsgründen HTTPS-Endpunkte.
Behandle alle Ereignistypen ordnungsgemäß (ignoriere unbekannte Ereignisse).

Vollständiges Beispiel

Hier ist ein produktionsbereiter Webhook-Handler mit Datenbankintegration:

webhooks/chaindoc.ts

import express from 'express';
import crypto from 'crypto';
import { PrismaClient } from '@prisma/client';

const app = express();
const prisma = new PrismaClient();

app.use(express.json());

app.post('/webhooks/chaindoc', async (req, res) => {
  const signature = req.headers['x-webhook-signature'] as string;
  const eventType = req.headers['x-webhook-event'] as string;
  const payload = req.body;
  
  // 1. Verify signature
  if (!verifySignature(payload, signature, process.env.WEBHOOK_SECRET!)) {
    console.error('Invalid webhook signature');
    return res.status(401).json({ error: 'Invalid signature' });
  }
  
  // 2. Check for duplicate events (idempotency)
  const eventId = `${eventType}-${payload.timestamp}`;
  const existing = await prisma.webhookEvent.findUnique({
    where: { eventId },
  });
  
  if (existing) {
    console.log('Duplicate event, skipping:', eventId);
    return res.status(200).json({ status: 'duplicate' });
  }
  
  // 3. Store event
  await prisma.webhookEvent.create({
    data: {
      eventId,
      eventType,
      payload,
      processedAt: new Date(),
    },
  });
  
  // 4. Process event asynchronously
  processWebhookAsync(eventType, payload).catch((error) => {
    console.error('Error processing webhook:', error);
  });
  
  // 5. Respond immediately
  res.status(200).json({ status: 'received' });
});

async function processWebhookAsync(eventType: string, payload: any) {
  switch (eventType) {
    case 'document.verified':
      await handleDocumentVerified(payload);
      break;
    case 'signature.request.completed':
      await handleSignatureCompleted(payload);
      await sendNotificationEmail(payload);
      break;
    case 'signature.request.rejected':
      await handleSignatureRejected(payload);
      break;
  }
}

async function handleDocumentVerified(payload: any) {
  await prisma.document.update({
    where: { id: payload.documentId },
    data: {
      status: 'verified',
      blockchainTxHash: payload.txHash,
      verifiedAt: new Date(payload.timestamp),
    },
  });
}

async function handleSignatureCompleted(payload: any) {
  await prisma.signatureRequest.update({
    where: { id: payload.signatureRequestId },
    data: {
      status: 'completed',
      completedAt: new Date(payload.completedAt),
    },
  });
}

function verifySignature(payload: any, signature: string, secret: string): boolean {
  const hmac = crypto.createHmac('sha256', secret);
  const digest = hmac.update(JSON.stringify(payload)).digest('hex');
  return crypto.timingSafeEqual(Buffer.from(signature), Buffer.from(digest));
}

app.listen(3000);

Nächste Schritte

Richte deine Webhook-URL im Chaindoc-Dashboard ein. Teste während der Entwicklung mit ngrok. Überwache die Webhook-Zustellung in deinen Protokollen. Richte Benachrichtigungen für fehlgeschlagene Zustellungen ein.

Documentation