ChaindocВебхуки Chaindoc
Вебхуки мгновенно отправляют данные о событиях на ваш сервер. Никакого опроса, никаких задержек. Здесь разберем настройку, типы событий, HMAC-верификацию, логику повторов и тестирование.
Требования
Подписка Business Plan (только пользователи Business могут настраивать вебхуки) HTTPS endpoint на вашем сервере Публично доступный URL (вебхуки нельзя отправлять на localhost)
Обзор
Вместо постоянного опроса API, вебхуки сами сообщают серверу, что произошло. Используйте их для синхронизации статуса документов, запуска workflows после подписей, отправки уведомлений и поддержания актуальности базы данных.
- Мгновенная доставка с до 3 автоматическими повторами (экспоненциальная задержка)
- HMAC SHA256 подпись для верификации каждого payload
- Фильтрация только нужных типов событий
- Отслеживание статуса доставки в дашборде
Настройка
Шаг 1: создайте API ключ
Перейдите в Settings → API Access в дашборде Chaindoc и создайте API ключ с включенной настройкой вебхуков.
Шаг 2: настройте webhook URL
Через API настройте endpoint для вебхуков:
terminal
curl -X PATCH https://api.chaindoc.io/user/api-access/1/config \
-H "Authorization: Bearer your_auth_token" \
-H "Content-Type: application/json" \
-d '{
"webhookUrl": "https://yourapp.com/webhooks/chaindoc",
"webhookEnabled": true,
"webhookSecret": "your_secure_random_string"
}'Шаг 3: реализуйте endpoint
Создайте endpoint на сервере для получения событий. Примеры на разных языках:
const express = require('express');
const crypto = require('crypto');
const app = express();
app.use(express.json());
app.post('/webhooks/chaindoc', (req, res) => {
const signature = req.headers['x-webhook-signature'];
const eventType = req.headers['x-webhook-event'];
// Verify signature
if (!verifySignature(req.body, signature, process.env.WEBHOOK_SECRET)) {
return res.status(401).send('Invalid signature');
}
// Process event
console.log('Received event:', eventType, req.body);
// Handle different event types
switch (eventType) {
case 'document.created':
handleDocumentCreated(req.body);
break;
case 'document.verified':
handleDocumentVerified(req.body);
break;
case 'signature.request.completed':
handleSignatureCompleted(req.body);
break;
}
// Always respond with 200 OK
res.status(200).send('Webhook received');
});
function verifySignature(payload, signature, secret) {
const hmac = crypto.createHmac('sha256', secret);
const digest = hmac.update(JSON.stringify(payload)).digest('hex');
return crypto.timingSafeEqual(
Buffer.from(signature),
Buffer.from(digest)
);
}
app.listen(3000);Типы событий
Chaindoc отправляет вебхуки для следующих событий:
document.created
Срабатывает при создании нового документа через API.
terminal
{
"event": "document.created",
"documentId": "86840ee4-8bf2-4a91-a289-e99d8307ec25",
"name": "Service Agreement",
"timestamp": "2024-12-04T10:30:00.000Z"
}document.verified
Срабатывает при успешной верификации документа на блокчейне.
terminal
{
"event": "document.verified",
"documentId": "86840ee4-8bf2-4a91-a289-e99d8307ec25",
"versionId": "f0b7721f-0399-4035-9b69-7b95d3a367f0",
"txHash": "0x789ghi...",
"chainId": 137,
"timestamp": "2024-12-04T10:35:00.000Z"
}document.signed
Срабатывает, когда собраны все необходимые подписи.
terminal
{
"event": "document.signed",
"documentId": "86840ee4-8bf2-4a91-a289-e99d8307ec25",
"signatureRequestId": "req_21096b94498f4a2d9795e810edc2c9a9",
"signers": [
{
"email": "signer1@example.com",
"signedAt": "2024-12-04T10:30:00.000Z"
},
{
"email": "signer2@example.com",
"signedAt": "2024-12-04T10:32:00.000Z"
}
],
"timestamp": "2024-12-04T10:32:00.000Z"
}signature.request.created
Срабатывает при создании нового запроса на подпись.
terminal
{
"event": "signature.request.created",
"signatureRequestId": "req_21096b94498f4a2d9795e810edc2c9a9",
"documentId": "86840ee4-8bf2-4a91-a289-e99d8307ec25",
"recipients": [
{"email": "signer1@example.com"},
{"email": "signer2@example.com"}
],
"deadline": "2024-12-31T23:59:59.000Z",
"timestamp": "2024-12-04T10:30:00.000Z"
}signature.request.completed
Срабатывает, когда все подписанты завершили подпись.
terminal
{
"event": "signature.request.completed",
"signatureRequestId": "req_21096b94498f4a2d9795e810edc2c9a9",
"documentId": "86840ee4-8bf2-4a91-a289-e99d8307ec25",
"completedAt": "2024-12-04T10:32:00.000Z",
"timestamp": "2024-12-04T10:32:00.000Z"
}signature.request.rejected
Срабатывает, когда подписант отклоняет запрос на подпись.
terminal
{
"event": "signature.request.rejected",
"signatureRequestId": "req_21096b94498f4a2d9795e810edc2c9a9",
"documentId": "86840ee4-8bf2-4a91-a289-e99d8307ec25",
"rejectedBy": "signer1@example.com",
"reason": "Terms not acceptable",
"timestamp": "2024-12-04T10:30:00.000Z"
}Безопасность
Верификация подписи
Chaindoc подписывает все вебхук-payload через HMAC SHA256. Всегда проверяйте подписи — это защитит от подделок и replay-атак.
Советы по безопасности
Всегда используйте timing-safe функции сравнения Никогда не пропускайте верификацию подписи в продакшене Храните webhook secret в безопасности Периодически меняйте секреты Используйте только HTTPS endpoints
Как работает верификация
1Chaindoc создает подписьChaindoc формирует HMAC-подпись используя ваш webhook secret
2Подпись в заголовкеПодпись отправляется в заголовке X-Webhook-Signature
3Ваш сервер проверяетСервер пересчитывает подпись и сравнивает через timing-safe функцию
const crypto = require('crypto');
function verifyWebhookSignature(payload, signature, secret) {
const hmac = crypto.createHmac('sha256', secret);
const digest = hmac.update(JSON.stringify(payload)).digest('hex');
// Use timing-safe comparison to prevent timing attacks
return crypto.timingSafeEqual(
Buffer.from(signature),
Buffer.from(digest)
);
}
// Usage
const isValid = verifyWebhookSignature(
req.body,
req.headers['x-webhook-signature'],
process.env.WEBHOOK_SECRET
);
if (!isValid) {
return res.status(401).send('Invalid signature');
}Логика повторов
При сбое доставки Chaindoc автоматически повторяет отправку с экспоненциальной задержкой.
- 1-я попытка: через 1 минуту
- 2-я попытка: через 5 минут (всего: 6 минут)
- 3-я попытка: через 15 минут (всего: 21 минута)
Что считается успехом
Ваш endpoint возвращает HTTP status code 200-299 Ваш endpoint отвечает за 30 секунд Не происходит сетевых ошибок при доставке
Тестирование вебхуков
Локальная разработка
Для тестирования используйте ngrok — он откроет доступ к локальному серверу извне:
terminal
# Install ngrok
npm install -g ngrok
# Start your local server
node server.js
# Expose port 3000
ngrok http 3000
# Use the ngrok URL as your webhook endpoint
# Example: https://abc123.ngrok.io/webhooks/chaindocРучное тестирование
Протестируйте endpoint с помощью curl:
terminal
curl -X POST https://yourapp.com/webhooks/chaindoc \
-H "Content-Type: application/json" \
-H "X-Webhook-Event: document.created" \
-H "X-Webhook-Signature: test_signature" \
-d '{
"event": "document.created",
"documentId": "test-123",
"name": "Test Document",
"timestamp": "2024-12-04T10:30:00.000Z"
}'Лучшие практики
- Всегда проверяйте подпись вебхука перед обработкой
- Отвечайте быстро (меньше 30 секунд), чтобы избежать таймаутов
- Обрабатывайте вебхуки асинхронно через очередь
- Реализуйте идемпотентность для обработки дубликатов
- Логируйте все события для отладки и аудита
- Следите за ошибками доставки в дашборде
- Используйте только HTTPS endpoints
- Обрабатывайте все типы событий (игнорируйте неизвестные)
Production-пример
Вот production-ready обработчик с интеграцией базы данных:
webhooks/chaindoc.ts
import express from 'express';
import crypto from 'crypto';
import { PrismaClient } from '@prisma/client';
const app = express();
const prisma = new PrismaClient();
app.use(express.json());
app.post('/webhooks/chaindoc', async (req, res) => {
const signature = req.headers['x-webhook-signature'] as string;
const eventType = req.headers['x-webhook-event'] as string;
const payload = req.body;
// 1. Verify signature
if (!verifySignature(payload, signature, process.env.WEBHOOK_SECRET!)) {
console.error('Invalid webhook signature');
return res.status(401).json({ error: 'Invalid signature' });
}
// 2. Check for duplicate events (idempotency)
const eventId = `${eventType}-${payload.timestamp}`;
const existing = await prisma.webhookEvent.findUnique({
where: { eventId },
});
if (existing) {
console.log('Duplicate event, skipping:', eventId);
return res.status(200).json({ status: 'duplicate' });
}
// 3. Store event
await prisma.webhookEvent.create({
data: {
eventId,
eventType,
payload,
processedAt: new Date(),
},
});
// 4. Process event asynchronously
processWebhookAsync(eventType, payload).catch((error) => {
console.error('Error processing webhook:', error);
});
// 5. Respond immediately
res.status(200).json({ status: 'received' });
});
async function processWebhookAsync(eventType: string, payload: any) {
switch (eventType) {
case 'document.verified':
await handleDocumentVerified(payload);
break;
case 'signature.request.completed':
await handleSignatureCompleted(payload);
await sendNotificationEmail(payload);
break;
case 'signature.request.rejected':
await handleSignatureRejected(payload);
break;
}
}
async function handleDocumentVerified(payload: any) {
await prisma.document.update({
where: { id: payload.documentId },
data: {
status: 'VERIFIED',
txHash: payload.txHash,
verifiedAt: new Date(),
},
});
}
function verifySignature(payload: any, signature: string, secret: string) {
const hmac = crypto.createHmac('sha256', secret);
const digest = hmac.update(JSON.stringify(payload)).digest('hex');
return crypto.timingSafeEqual(
Buffer.from(signature),
Buffer.from(digest)
);
}Что дальше
- API интеграция — типичные паттерны и примеры workflows
- API документация — полный справочник endpoint'ов
- SDKs — гайды по Server SDK и Embed SDK
- Безопасность — HMAC-верификация и управление ключами
- Установка — настройка SDK для всех фреймворков