Webhooks

Webhooks

Naudodami webhooks, gausite realaus laiko pranešimus, kai jūsų Workspace įvyksta įvykiai – pvz., kai nuskaitomas QR kodas.

Webhook kūrimas

POST /v1/webhooks

{
  "url": "https://example.com/webhooks/qr3",
  "events": ["qr.scanned", "qr.created"],
  "secret": "my-secret-key-min-16-chars"
}

Caution

Webhook URL adresai privalo naudoti HTTPS. HTTP URL adresai bus atmetami.

Atsakymas

{
  "id": "wh_abc123",
  "url": "https://example.com/webhooks/qr3",
  "events": ["qr.scanned", "qr.created"],
  "is_active": true,
  "secret": "my-secret-key-min-16-chars",
  "secret_hint": "my-s…",
  "created_at": "2026-03-15T10:00:00.000Z"
}

Note

secret yra grąžinamas tik vieną kartą. Saugokite jį saugiai – jis reikalingas parašo verifikavimui.

Įvykių tipai

Įvykis	Aprašymas
*	Visi įvykiai
qr.created	QR kodas sukurtas
qr.updated	QR kodas atnaujintas (URL, būsena, žymos)
qr.deleted	QR kodas ištrintas
qr.scanned	QR kodas nuskaitytas
qr.flagged	QR kodas pažymėtas kaip nesaugus
scan.created	Nuskaitymo įvykis (alias įvykiui qr.scanned)
workspace.updated	Workspace atnaujinta
webhook.ping	Bandomasis ping (per /ping galinį tašką)

Payload formatas

Visi webhook payload duomenys yra šio formato:

{
  "id": "evt_abc123xyz",
  "type": "qr.scanned",
  "created": "2026-03-15T10:00:00.000Z",
  "data": {
    "code_id": "qr_abc123",
    "short_code": "r7f3Kx",
    "scan_id": "scn_xyz",
    "country": "AT",
    "device_type": "mobile",
    "os": "iOS"
  }
}

Parašo verifikavimas

qr3.app pasirašo kiekvieną webhook užklausą naudodama HMAC-SHA256:

X-QR3-Signature: sha256=a1b2c3d4e5f6...

Verifikavimo įgyvendinimas

Node.js

import crypto from "crypto";

function verifySignature(
  payload: string,
  signature: string,
  secret: string
): boolean {
  const expected = crypto
    .createHmac("sha256", secret)
    .update(payload)
    .digest("hex");
  const received = signature.replace("sha256=", "");
  return crypto.timingSafeEqual(
    Buffer.from(expected, "hex"),
    Buffer.from(received, "hex")
  );
}

// In Express:
app.post("/webhooks/qr3", (req, res) => {
  const signature = req.headers["x-qr3-signature"] as string;
  const valid = verifySignature(
    JSON.stringify(req.body),
    signature,
    process.env.QR3_WEBHOOK_SECRET
  );
  if (!valid) return res.status(401).json({ error: "Invalid signature" });

  const event = req.body;
  console.log(event.type, event.data);
  res.json({ received: true });
});

Python

import hmac
import hashlib

def verify_signature(payload: str, signature: str, secret: str) -> bool:
    expected = hmac.new(
        secret.encode(),
        payload.encode(),
        hashlib.sha256
    ).hexdigest()
    received = signature.removeprefix("sha256=")
    return hmac.compare_digest(expected, received)

Pakartotinių bandymų logika

Klaidų atveju (HTTP >= 300 arba laiko viršijimas) qr3.app bandys pristatyti iš naujo:

Bandymas	Delsa (Delay)
1	Iškart
2	1 minutė
3	5 minutės

Po 10 nesėkmingų bandymų iš eilės webhook bus automatiškai deaktyvuotas.

Pristatymo žurnalai

GET /v1/webhooks/:id/deliveries

{
  "data": [
    {
      "id": "whd_abc123",
      "event_type": "qr.scanned",
      "status": "success",
      "status_code": 200,
      "response_time_ms": 145,
      "attempt": 1,
      "created_at": "2026-03-15T10:00:00.000Z"
    }
  ]
}

Testinis ping

Išbandykite webhook iškart:

POST /v1/webhooks/:id/ping

Tai išsiųs webhook.ping įvykį į jūsų galinio taško (endpoint) URL.