Skip to main content

Descripción General

El resultado de una consulta VIN se entrega por POST al webhook del cliente. La URL no se envía en el request: se configura manualmente y se coordina por correo. El webhook se dispara solo en estados terminales: éxito (success) y error (error). Nunca para pending, y nunca para el 422 de validación (eso lo resuelve por completo el endpoint de creación).

Body

El body es el mismo envelope del GET de polling, con task_id a nivel raíz para correlación.

Headers

HeaderValor
Content-Typeapplication/json
X-Signaturesha256=<HMAC-SHA256(body, secret)>
X-TimestampISO-8601 UTC del envío

Verificación de Firma (lado cliente)

Recalcula la firma sobre el body crudo con tu secret y compárala en tiempo constante con el header X-Signature:

Reintentos

Si el cliente no responde 2xx, la entrega se reintenta con backoff 0s → 30s → 120s.

Seguridad

  • HMAC-SHA256 en el webhook (X-Signature) + X-Timestamp contra replay.
  • Token siempre en header Authorization: Bearer, nunca en la URL.
  • TLS obligatorio en todas las llamadas.