Generalidades

¿Qué es un Webhook?

Un webhook es una notificación HTTP POST que OnePay envía a tu servidor cuando ocurre un evento relevante (pago aprobado, cargo exitoso, dispersión procesada, etc.). En lugar de consultar la API constantemente, tu sistema recibe la información automáticamente.

Ejemplo Rápido

Cuando ocurre un evento, OnePay envía una solicitud POST a tu endpoint con este formato:

{
  "payment": {
    "id": "9e02ac3f-8d1b-4f5e-9c2a-7b3d4e5f6a7b",
    "amount": 150000,
    "amount_label": "$150.000",
    "status": "approved",
    "customer": {
      "id": "9dd4158b-0e45-42bc-b56f-a4c1f856814d",
      "first_name": "Juan",
      "last_name": "Pérez",
      "email": "juan@example.com"
    }
  },
  "event": {
    "id": "evt_9e02ac3f-8d1b",
    "type": "payment.approved",
    "timestamp": 1707398765,
    "environment": "production"
  }
}

Headers recibidos:

x-webhook-token: wh_hdr_abc123...
x-signature: 8f3a2b1c9d4e5f6a7b8c9d0e1f2a3b4c...
Content-Type: application/json

¿Por qué usar Webhooks?

Sin webhooks	Con webhooks
Tu sistema consulta la API cada X segundos	OnePay notifica a tu sistema al instante
Mayor consumo de recursos y requests	Solo procesas cuando hay un evento real
Posible retraso en detectar cambios	Actualización en tiempo real

Configuración

1. Crear un endpoint público

Tu servidor debe exponer un endpoint HTTPS que reciba solicitudes POST. Ejemplo:

https://tuapp.com/webhooks/onepay

2. Registrar el webhook en OnePay

Puedes configurar tus webhooks de dos maneras: Opción A: Mediante el administrador web

Administrar webhooks

Opción B: Mediante la API

Listar webhooks

Obtén todos tus webhooks configurados

Ver webhook

Consulta detalles y auditoría de un webhook

Crear webhook

Crea un nuevo webhook mediante la API

Actualizar webhook

Modifica la configuración de un webhook

Eliminar webhook

Elimina un webhook existente

3. Verificar la firma HMAC-SHA256

Cada webhook incluye una firma HMAC-SHA256 en el header x-signature para verificar que proviene de OnePay. Debes validar esta firma antes de procesar el evento.

JavaScript (Node.js)
Python (Flask)
PHP

const crypto = require('crypto');

function verifyWebhookSignature(req) {
  const signature = req.headers['x-signature'];
  const secret = process.env.ONEPAY_WEBHOOK_SECRET; // wh_tok_...

  // El body debe ser el raw string, NO el objeto parseado
  const rawBody = JSON.stringify(req.body);

  const expectedSignature = crypto
    .createHmac('sha256', secret)
    .update(rawBody)
    .digest('hex');

  return signature === expectedSignature;
}

// Uso en Express
app.post('/webhooks/onepay', express.json(), (req, res) => {
  if (!verifyWebhookSignature(req)) {
    return res.status(401).send('Invalid signature');
  }

  const { event } = req.body;
  console.log(`Received event: ${event.type}`);

  // Procesar el evento...

  res.status(200).send('OK');
});

import hmac
import hashlib
from flask import Flask, request

app = Flask(__name__)
WEBHOOK_SECRET = 'wh_tok_...'

def verify_webhook_signature(signature, payload):
    expected_signature = hmac.new(
        WEBHOOK_SECRET.encode('utf-8'),
        payload.encode('utf-8'),
        hashlib.sha256
    ).hexdigest()

    return hmac.compare_digest(signature, expected_signature)

@app.route('/webhooks/onepay', methods=['POST'])
def webhook():
    signature = request.headers.get('x-signature')
    payload = request.get_data(as_text=True)

    if not verify_webhook_signature(signature, payload):
        return 'Invalid signature', 401

    data = request.get_json()
    event_type = data['event']['type']
    print(f'Received event: {event_type}')

    # Procesar el evento...

    return 'OK', 200

<?php
$signature = $_SERVER['HTTP_X_SIGNATURE'];
$secret = getenv('ONEPAY_WEBHOOK_SECRET'); // wh_tok_...

// Obtener el body raw
$rawBody = file_get_contents('php://input');

// Calcular la firma esperada
$expectedSignature = hash_hmac('sha256', $rawBody, $secret);

// Comparar de forma segura
if (!hash_equals($expectedSignature, $signature)) {
    http_response_code(401);
    die('Invalid signature');
}

$data = json_decode($rawBody, true);
$eventType = $data['event']['type'];
error_log("Received event: $eventType");

// Procesar el evento...

http_response_code(200);
echo 'OK';
?>

Importante: Siempre usa el raw body (string) para calcular la firma, no el objeto JSON parseado. Cualquier diferencia en espacios o formato invalidará la firma.

HMAC es un hash con clave, no un cifrado. No se puede “descifrar”, solo se puede comparar calculando el mismo hash con los mismos datos y la misma clave.

4. Verificar el header de autenticación

Cada solicitud incluye un header x-webhook-token con un token de autorización. Este token es diferente al webhook secret y también sirve para verificar el origen:

x-webhook-token: 'wh_hdr_...'

Eventos disponibles

Los tipos de webhook que puedes recibir se documentan en cada sección:

Recurso	Eventos	Cuándo se dispara	Documentación
Payments	`payment.approved`	El cliente completó el pago exitosamente	Ver detalles
	`payment.declined`	El pago fue rechazado	Ver detalles
	`payment.cancelled`	El cliente canceló el pago	Ver detalles
Charges	`charge.succeeded`	El cargo automático se procesó exitosamente	Ver detalles
	`charge.declined`	El cargo automático fue rechazado	Ver detalles
Cashouts	`cashout.processed`	La dispersión se completó exitosamente	Ver detalles
	`cashout.failed`	La dispersión falló	Ver detalles
Subscriptions	`subscription.activated`	La suscripción se activó	Ver detalles
	`subscription.cancelled`	La suscripción fue cancelada	Ver detalles
	`subscription.payment_failed`	Falló el cobro de una cuota	Ver detalles
Accounts	`account.active`	La cuenta bancaria fue validada	Ver detalles
	`account.rejected`	La cuenta fue rechazada	Ver detalles

Testing local

Para desarrollo local, usa Ngrok para exponer tu servidor:

ngrok http 3000

Esto genera una URL pública temporal (ej: https://abc123.ngrok.io) que puedes registrar como webhook.

Buenas prácticas

Responde con HTTP 200 lo antes posible para evitar reintentos
Procesa los eventos de forma asíncrona (usa una cola de trabajo)
Verifica siempre la firma HMAC antes de procesar el evento
Implementa idempotencia para manejar eventos duplicados
Registra los eventos recibidos para depuración

API

Métodos de pago

Recaudo

Dispersiones

Webhooks

Fintech as a service

¿Qué es un Webhook?

Ejemplo Rápido

¿Por qué usar Webhooks?

Configuración

1. Crear un endpoint público

2. Registrar el webhook en OnePay

Administrar webhooks

Listar webhooks

Ver webhook

Crear webhook

Actualizar webhook

Eliminar webhook

3. Verificar la firma HMAC-SHA256

4. Verificar el header de autenticación

Eventos disponibles

Testing local

Buenas prácticas

API

Métodos de pago

Recaudo

Dispersiones

Webhooks

Fintech as a service

​¿Qué es un Webhook?

​Ejemplo Rápido

​¿Por qué usar Webhooks?

​Configuración

​1. Crear un endpoint público

​2. Registrar el webhook en OnePay

Administrar webhooks

Listar webhooks

Ver webhook

Crear webhook

Actualizar webhook

Eliminar webhook

​3. Verificar la firma HMAC-SHA256

​4. Verificar el header de autenticación

​Eventos disponibles

​Testing local

​Buenas prácticas

¿Qué es un Webhook?

Ejemplo Rápido

¿Por qué usar Webhooks?

Configuración

1. Crear un endpoint público

2. Registrar el webhook en OnePay

3. Verificar la firma HMAC-SHA256

4. Verificar el header de autenticación

Eventos disponibles

Testing local

Buenas prácticas