Chaindoc logoChaindoc

Chaindoc Webhooks

Hier ist das Ding: Webhooks pushen Event-Daten direkt auf deinen Server, sobald etwas in Chaindoc passiert. Kein Polling, keine Verzögerungen. Auf dieser Seite zeigen wir dir Setup, Event-Typen, HMAC-Verifizierung, Retry-Logik und Testing.

Überblick

Anstatt die API ständig abzufragen, sagen dir Webhooks sofort, was passiert ist. Du nutzt sie, um den Dokument-Status zu synchronisieren, Workflows nach Signaturen zu triggern, Benachrichtigungen zu senden und deine Datenbank auf dem Laufenden zu halten.

  • Sofortige Zustellung mit bis zu 3 automatischen Retries (exponentielles Backoff)
  • HMAC SHA256-Signatur-Verifizierung bei jedem Payload
  • Filterung auf nur die Event-Typen, die dich interessieren
  • Tracking des Zustellstatus in deinem Dashboard

Setup

Schritt 1: API-Key erstellen

Gehe im Chaindoc Dashboard zu Einstellungen → API-Zugang und erstelle einen API-Key mit aktivierter Webhook-Konfiguration.

Schritt 2: Webhook-URL konfigurieren

Nutze die API, um deinen Webhook-Endpoint zu konfigurieren:

terminal
curl -X PATCH https://api.chaindoc.io/user/api-access/1/config \
  -H "Authorization: Bearer your_auth_token" \
  -H "Content-Type: application/json" \
  -d '{
    "webhookUrl": "https://yourapp.com/webhooks/chaindoc",
    "webhookEnabled": true,
    "webhookSecret": "your_secure_random_string"
  }'

Schritt 3: Endpoint implementieren

Erstelle einen Endpoint auf deinem Server, um Webhook-Events zu empfangen. Hier sind Beispiele in verschiedenen Sprachen:

const express = require('express');
const crypto = require('crypto');

const app = express();
app.use(express.json());

app.post('/webhooks/chaindoc', (req, res) => {
  const signature = req.headers['x-webhook-signature'];
  const eventType = req.headers['x-webhook-event'];
  
  // Verify signature
  if (!verifySignature(req.body, signature, process.env.WEBHOOK_SECRET)) {
    return res.status(401).send('Invalid signature');
  }
  
  // Process event
  console.log('Received event:', eventType, req.body);
  
  // Handle different event types
  switch (eventType) {
    case 'document.created':
      handleDocumentCreated(req.body);
      break;
    case 'document.verified':
      handleDocumentVerified(req.body);
      break;
    case 'signature.request.completed':
      handleSignatureCompleted(req.body);
      break;
  }
  
  // Always respond with 200 OK
  res.status(200).send('Webhook received');
});

function verifySignature(payload, signature, secret) {
  const hmac = crypto.createHmac('sha256', secret);
  const digest = hmac.update(JSON.stringify(payload)).digest('hex');
  return crypto.timingSafeEqual(
    Buffer.from(signature),
    Buffer.from(digest)
  );
}

app.listen(3000);

Event-Typen

Chaindoc sendet Webhooks für folgende Events:

document.created

Wird ausgelöst, wenn ein neues Dokument über die API erstellt wird.

terminal
{
  "event": "document.created",
  "documentId": "86840ee4-8bf2-4a91-a289-e99d8307ec25",
  "name": "Service Agreement",
  "timestamp": "2024-12-04T10:30:00.000Z"
}

document.verified

Wird ausgelöst, wenn ein Dokument erfolgreich auf der Blockchain verifiziert wurde.

terminal
{
  "event": "document.verified",
  "documentId": "86840ee4-8bf2-4a91-a289-e99d8307ec25",
  "versionId": "f0b7721f-0399-4035-9b69-7b95d3a367f0",
  "txHash": "0x789ghi...",
  "chainId": 137,
  "timestamp": "2024-12-04T10:35:00.000Z"
}

document.signed

Wird ausgelöst, wenn alle erforderlichen Signaturen eingesammelt wurden.

terminal
{
  "event": "document.signed",
  "documentId": "86840ee4-8bf2-4a91-a289-e99d8307ec25",
  "signatureRequestId": "req_21096b94498f4a2d9795e810edc2c9a9",
  "signers": [
    {
      "email": "signer1@example.com",
      "signedAt": "2024-12-04T10:30:00.000Z"
    },
    {
      "email": "signer2@example.com",
      "signedAt": "2024-12-04T10:32:00.000Z"
    }
  ],
  "timestamp": "2024-12-04T10:32:00.000Z"
}

signature.request.created

Wird ausgelöst, wenn eine neue Signaturanfrage erstellt wird.

terminal
{
  "event": "signature.request.created",
  "signatureRequestId": "req_21096b94498f4a2d9795e810edc2c9a9",
  "documentId": "86840ee4-8bf2-4a91-a289-e99d8307ec25",
  "recipients": [
    {"email": "signer1@example.com"},
    {"email": "signer2@example.com"}
  ],
  "deadline": "2024-12-31T23:59:59.000Z",
  "timestamp": "2024-12-04T10:30:00.000Z"
}

signature.request.completed

Wird ausgelöst, wenn alle Unterzeichner ihre Signaturen abgeschlossen haben.

terminal
{
  "event": "signature.request.completed",
  "signatureRequestId": "req_21096b94498f4a2d9795e810edc2c9a9",
  "documentId": "86840ee4-8bf2-4a91-a289-e99d8307ec25",
  "completedAt": "2024-12-04T10:32:00.000Z",
  "timestamp": "2024-12-04T10:32:00.000Z"
}

signature.request.rejected

Wird ausgelöst, wenn ein Unterzeichner die Signaturanfrage ablehnt.

terminal
{
  "event": "signature.request.rejected",
  "signatureRequestId": "req_21096b94498f4a2d9795e810edc2c9a9",
  "documentId": "86840ee4-8bf2-4a91-a289-e99d8307ec25",
  "rejectedBy": "signer1@example.com",
  "reason": "Terms not acceptable",
  "timestamp": "2024-12-04T10:30:00.000Z"
}

Sicherheit

Signatur-Verifizierung

Chaindoc signiert alle Webhook-Payloads mit HMAC SHA256. Verifiziere immer die Signaturen, um Echtheit zu garantieren und Replay-Attacken zu verhindern.

Wie die Verifizierung funktioniert

1Chaindoc erstellt die SignaturChaindoc erstellt die HMAC-Signatur mit deinem Webhook-Secret

2Signatur wird im Header gesendetDie Signatur wird im X-Webhook-Signature Header übermittelt

3Dein Server verifiziertDein Server berechnet die Signatur neu und vergleicht sie mit einer timing-sicheren Funktion

const crypto = require('crypto');

function verifyWebhookSignature(payload, signature, secret) {
  const hmac = crypto.createHmac('sha256', secret);
  const digest = hmac.update(JSON.stringify(payload)).digest('hex');
  
  // Use timing-safe comparison to prevent timing attacks
  return crypto.timingSafeEqual(
    Buffer.from(signature),
    Buffer.from(digest)
  );
}

// Usage
const isValid = verifyWebhookSignature(
  req.body,
  req.headers['x-webhook-signature'],
  process.env.WEBHOOK_SECRET
);

if (!isValid) {
  return res.status(401).send('Invalid signature');
}

Retry-Logik

Chaindoc versucht fehlgeschlagene Webhook-Zustellungen automatisch mit exponentiellem Backoff erneut.

  • 1. Retry: Nach 1 Minute
  • 2. Retry: Nach 5 Minuten (insgesamt: 6 Minuten)
  • 3. Retry: Nach 15 Minuten (insgesamt: 21 Minuten)

Webhooks testen

Lokale Entwicklung

Nutze Tools wie ngrok, um deinen lokalen Server fürs Webhook-Testing freizugeben:

terminal
# Install ngrok
npm install -g ngrok

# Start your local server
node server.js

# Expose port 3000
ngrok http 3000

# Use the ngrok URL as your webhook endpoint
# Example: https://abc123.ngrok.io/webhooks/chaindoc

Manuelles Testing

Teste deinen Webhook-Endpoint mit einem Beispiel-Payload:

terminal
curl -X POST https://yourapp.com/webhooks/chaindoc \
  -H "Content-Type: application/json" \
  -H "X-Webhook-Event: document.created" \
  -H "X-Webhook-Signature: test_signature" \
  -d '{
    "event": "document.created",
    "documentId": "test-123",
    "name": "Test Document",
    "timestamp": "2024-12-04T10:30:00.000Z"
  }'

Best Practices

  • Verifiziere Webhook-Signaturen vor der Verarbeitung
  • Antworte schnell (unter 30 Sekunden), um Timeouts zu vermeiden
  • Verarbeite Webhooks asynchron in einer Queue
  • Implementiere Idempotenz, um doppelte Events zu handhaben
  • Logge alle Webhook-Events zum Debuggen und für Audits
  • Überwache fehlgeschlagene Webhook-Zustellungen in deinem Dashboard
  • Nutze HTTPS-Endpoints aus Sicherheitsgründen
  • Behandle alle Event-Typen gracefully (ignoriere unbekannte Events)

Production-Beispiel

Hier ist ein production-ready Webhook-Handler mit Datenbank-Integration:

webhooks/chaindoc.ts
import express from 'express';
import crypto from 'crypto';
import { PrismaClient } from '@prisma/client';

const app = express();
const prisma = new PrismaClient();

app.use(express.json());

app.post('/webhooks/chaindoc', async (req, res) => {
  const signature = req.headers['x-webhook-signature'] as string;
  const eventType = req.headers['x-webhook-event'] as string;
  const payload = req.body;
  
  // 1. Verify signature
  if (!verifySignature(payload, signature, process.env.WEBHOOK_SECRET!)) {
    console.error('Invalid webhook signature');
    return res.status(401).json({ error: 'Invalid signature' });
  }
  
  // 2. Check for duplicate events (idempotency)
  const eventId = `${eventType}-${payload.timestamp}`;
  const existing = await prisma.webhookEvent.findUnique({
    where: { eventId },
  });
  
  if (existing) {
    console.log('Duplicate event, skipping:', eventId);
    return res.status(200).json({ status: 'duplicate' });
  }
  
  // 3. Store event
  await prisma.webhookEvent.create({
    data: {
      eventId,
      eventType,
      payload,
      processedAt: new Date(),
    },
  });
  
  // 4. Process event asynchronously
  processWebhookAsync(eventType, payload).catch((error) => {
    console.error('Error processing webhook:', error);
  });
  
  // 5. Respond immediately
  res.status(200).json({ status: 'received' });
});

async function processWebhookAsync(eventType: string, payload: any) {
  switch (eventType) {
    case 'document.verified':
      await handleDocumentVerified(payload);
      break;
    case 'signature.request.completed':
      await handleSignatureCompleted(payload);
      await sendNotificationEmail(payload);
      break;
    case 'signature.request.rejected':
      await handleSignatureRejected(payload);
      break;
  }
}

async function handleDocumentVerified(payload: any) {
  await prisma.document.update({
    where: { id: payload.documentId },
    data: {
      status: 'VERIFIED',
      txHash: payload.txHash,
      verifiedAt: new Date(),
    },
  });
}

Was als Nächstes?