Autenticación

Cuando Global66 envía una notificación a tu endpoint, incluye el header x-api-key. Tu servidor debe verificar que este valor coincida con la clave que te entregamos al registrar el webhook — así confirmas que la notificación es auténtica y proviene de Global66.

Mecanismo de validación

1. Registrar tu webhook

   Al registrar tu endpoint en la plataforma de Global66, el sistema genera una API Key única asociada a tu webhook.

2. Global66 envía la notificación

   Cuando ocurre un evento (cambio de estado, recepción de pago), Global66 gatilla un EVENTO a tu endpoint e incluye el header x-api-key con la clave asignada.

3. Tu endpoint valida la clave

   Tu servidor extrae el header x-api-key de la petición recibida y lo compara con la clave que tienes almacenada.

4. Responder según resultado

   Si la clave coincide → la notificación es auténtica, responde 200 OK. Si no coincide → rechaza con 401.

Ejemplos de validación

Node.jsPythonPHP

Sin reintentos

Si tu endpoint devuelve error (4xx / 5xx) o hace timeout, Global66 no volverá a enviar ese evento. Responde 200 primero y procesa en segundo plano.

Buenas prácticas

Guarda la API Key en variables de entorno, nunca en el código fuente. Usa herramientas como .env + dotenv, AWS Secrets Manager o Vault.