Вебхуки: принимаем и проверяем подпись

Вебхук без проверки подписи - дыра

Эндпоинт для вебхука открыт всему интернету, поэтому подделать запрос может кто угодно. Спасает подпись.

• Считаю HMAC от сырого тела запроса с секретом сервиса.
• Сравниваю с заголовком подписи постоянным по времени сравнением.
• Обрабатываю идемпотентно: повторный вебхук не должен выдать товар дважды.

И отвечаю быстро (200), а тяжёлую работу делаю в фоне - сервисы не любят ждать и шлют повторы.