Descripción General
El resultado de una consulta VIN se entrega porPOST al webhook del cliente. La URL no se envía en el request: se configura manualmente y se coordina por correo.
El webhook se dispara solo en estados terminales: éxito (success) y error (error). Nunca para pending, y nunca para el 422 de validación (eso lo resuelve por completo el endpoint de creación).
Body
El body es el mismo envelope del GET de polling, contask_id a nivel raíz para correlación.
Headers
| Header | Valor |
|---|---|
Content-Type | application/json |
X-Signature | sha256=<HMAC-SHA256(body, secret)> |
X-Timestamp | ISO-8601 UTC del envío |
Verificación de Firma (lado cliente)
Recalcula la firma sobre el body crudo con tusecret y compárala en tiempo constante con el header X-Signature:
Reintentos
Si el cliente no responde2xx, la entrega se reintenta con backoff 0s → 30s → 120s.
Seguridad
- HMAC-SHA256 en el webhook (
X-Signature) +X-Timestampcontra replay. - Token siempre en header
Authorization: Bearer, nunca en la URL. - TLS obligatorio en todas las llamadas.