Os webhooks entregam eventos de identificação ao seu servidor em tempo real. Toda vez que um
visitante é identificado, o TRACIO envia uma requisição HTTP POST para a URL de webhook
configurada. O corpo da requisição é o payload do evento — não há envelope
de encapsulamento.
O corpo é um documento JSON plano em camelCase. É um subconjunto público curado do
evento interno — sem hashes de impressão digital nem marcadores internos de detecção.
{ "requestId": "1710432000_abc123def", "phase": "primary", "visitorId": "X7fh2Hg9LkMn3pQr", "linkedId": "user_12345", "tag": "login", "timestamp": "2024-03-12T16:00:00Z", "url": "https://your-app.com/login", "ip": "94.142.239.124", "userAgent": "Mozilla/5.0 …", "browser": { "name": "Chrome", "version": "120.0" }, "os": { "name": "macOS", "version": "14.3" }, "device": "desktop", "geo": { "country": "CZ", "city": "Prague", "lat": 50.05, "lon": 14.4, "timezone": "Europe/Prague", "isp": "Example ISP" }, "network": { "vpn": false, "proxy": false, "tor": false, "datacenter": false, "connectionType": "residential" }, "bot": { "result": "human", "type": "", "score": 0.02 }, "identification": { "confidence": 0.95, "incognito": false, "visitType": "returning" }, "decision": { "action": "allow", "riskScore": 4, "suspectScore": 0.08 }}| Campo | Tipo | Descrição |
|---|---|---|
requestId | string | Identificador único do evento (também uma chave de idempotência) |
phase | string | primary ou late — veja abaixo |
visitorId | string | Identificador estável de visitante |
linkedId | string | Identificador vinculado fornecido pelo cliente |
tag | string | Tag personalizada fornecida pelo cliente |
timestamp | string | Horário do evento (RFC 3339) |
url | string | URL da página onde o evento foi capturado |
ip | string | Endereço IP do cliente |
userAgent | string | String bruta de user-agent do cliente |
browser.name / .version | string | Navegador detectado |
os.name / .version | string | Sistema operacional detectado |
device | string | Classe de dispositivo (ex.: desktop, mobile) |
geo | object | Geolocalização de IP: country, city, lat, lon, timezone, isp |
network | object | vpn, proxy, tor, datacenter (booleanos) e connectionType |
bot.result | string | human, bot ou uncertain |
bot.type | string | Rótulo livre de automação quando um bot é detectado |
bot.score | number | Pontuação de probabilidade de bot |
identification.confidence | number | Confiança do modelo (0.0–1.0) |
identification.incognito | boolean | Contexto de navegação privada/anônima |
identification.visitType | string | Classificação da visita |
decision.action | string | Ação recomendada |
decision.riskScore | number | Pontuação de risco agregada (0–100) |
decision.suspectScore | number | Pontuação de suspeita refinada |
phase distingue duas entregas que compartilham o mesmo requestId:
primary — enviado imediatamente quando o visitante é identificado.late — um evento de enriquecimento de acompanhamento (um veredito de bot refinado e
sinais comportamentais capturados um pouco depois).Correlacione os dois pelo requestId e distinga-os pelo phase.
Toda entrega inclui um cabeçalho X-Tracio-Signature:
X-Tracio-Signature: t=1710432000,v1=5257a869e7ecebed...t é o timestamp Unix (segundos) em que a requisição foi assinada.v1 é o HMAC-SHA256 codificado em hexadecimal de "<t>.<rawRequestBody>", com chave definida pelo
seu segredo de webhook.O timestamp faz parte do conteúdo assinado, o que dá proteção contra replay —
verifique contra o Buffer do corpo bruto da requisição (não use o JSON
analisado/reserializado, ou a assinatura não vai bater). Construa o conteúdo assinado
como bytes: o prefixo "<t>." concatenado com o buffer do corpo bruto, e então aplique o HMAC.
// Express.js exampleimport express from "express"import crypto from "crypto"
const app = express()
// Capture the raw body so we can verify the signature byte-for-byte.app.use( express.json({ verify: (req, _res, buf) => { ;(req as any).rawBody = buf }, }),)
function verifySignature(rawBody: Buffer, header: string, secret: string): boolean { // Parse "t=...,v1=..." const parts = Object.fromEntries(header.split(",").map((kv) => kv.split("=") as [string, string])) const t = parts["t"] const v1 = parts["v1"] if (!t || !v1) return false
// Sign the raw bytes: "<t>." prefix + the raw request body buffer. const signed = Buffer.concat([Buffer.from(`${t}.`, "utf8"), rawBody]) const expected = crypto.createHmac("sha256", secret).update(signed).digest("hex")
const a = Buffer.from(v1, "hex") const b = Buffer.from(expected, "hex") return a.length === b.length && crypto.timingSafeEqual(a, b)}
app.post("/webhook/tracio", (req, res) => { const header = req.headers["x-tracio-signature"] as string if (!verifySignature((req as any).rawBody, header, WEBHOOK_SECRET)) { return res.status(401).json({ error: "Invalid signature" }) }
const event = req.body console.log(`Visitor: ${event.visitorId}`) console.log(`Bot: ${event.bot.result}`) // "human" | "bot" | "uncertain"
res.status(200).send("OK")})Você também pode querer rejeitar entregas cujo t esteja muito distante do horário
atual (por exemplo, mais de cinco minutos de desvio) como uma proteção extra contra replay.
| Cabeçalho | Descrição |
|---|---|
Content-Type | application/json |
X-Tracio-Signature | t=<unix>,v1=<hmac_sha256_hex> sobre "<t>.<rawBody>" |
X-Tracio-Event-Id | O requestId do evento — use-o como chave de idempotência |
X-Tracio-Webhook-Id | Identificador do webhook que produziu esta entrega |
A maneira mais simples de gerenciar webhooks é visualmente no painel. Eles também podem
ser gerenciados de forma programática por meio da API de gerenciamento com escopo de workspace —
a mesma API que o painel usa. Ela é servida no host da aplicação (por
exemplo https://app.tracio.ai/api/v1) e autenticada com o JWT da sua sessão do painel
(Clerk); cada requisição é adicionalmente verificada contra o seu papel no
workspace (RBAC). Não há um segredo de API independente. Todos os endpoints de webhook
ficam sob /workspaces/{workspaceId}.
curl -X POST https://app.tracio.ai/api/v1/workspaces/{workspaceId}/webhooks \ -H "Authorization: Bearer <clerk-session-jwt>" \ -H "Content-Type: application/json" \ -d '{ "url": "https://your-server.com/webhook/tracio", "events": [] }'O segredo de assinatura é gerado pelo TRACIO e retornado uma única vez na criação
(e na rotação) sob signingSecret. Armazene-o com segurança — é a chave que você usa
para verificar assinaturas.
{ "ok": true, "data": { "id": "wh_abc123", "workspaceEnvironmentId": "b201f2ba-…", "url": "https://your-server.com/webhook/tracio", "events": [], "signingSecret": "f3a9…<hex>", "status": "active", "successRate": 100, "createdAt": "2024-03-12T16:00:00Z" }}Em leituras subsequentes o signingSecret é mascarado (null) — ele é revelado apenas
pela criação e pela rotação de segredo.
| Método | Caminho | Descrição |
|---|---|---|
GET | /workspaces/{workspaceId}/webhooks | Listar webhooks |
PATCH | /workspaces/{workspaceId}/webhooks/{webhookId} | Atualizar url / events / status |
DELETE | /workspaces/{workspaceId}/webhooks/{webhookId} | Excluir um webhook |
POST | /workspaces/{workspaceId}/webhooks/{webhookId}/test | Enviar uma entrega de teste assinada |
POST | /workspaces/{workspaceId}/webhooks/{webhookId}/secret/rotate | Rotacionar o segredo de assinatura |
GET | /workspaces/{workspaceId}/webhooks/{webhookId}/deliveries | Listar tentativas de entrega recentes |
GET | /workspaces/{workspaceId}/webhooks/{webhookId}/deliveries | Listar tentativas de entrega recentes |
As entregas podem ser retentadas, então seu handler deve ser idempotente. Deduplique com base no
cabeçalho X-Tracio-Event-Id (o requestId):
app.post("/webhook/tracio", async (req, res) => { const eventId = req.headers["x-tracio-event-id"] as string
const existing = await db.webhooks.findOne({ eventId }) if (existing) return res.status(200).send("Already processed")
await db.webhooks.insert({ eventId, processedAt: new Date() }) await processWebhookEvent(req.body)
res.status(200).send("OK")})Retorne uma resposta 2xx o mais rápido possível e processe o payload de forma
assíncrona para evitar timeouts. Respostas não 2xx (e erros de conexão)
são retentadas; falhas repetidas podem desativar o webhook automaticamente.
app.post("/webhook/tracio", async (req, res) => { res.status(200).send("OK") processWebhookEvent(req.body).catch(console.error)})
async function processWebhookEvent(event: WebhookPayload) { await db.events.insert(event)
if (event.decision.riskScore > 50) { await alertFraudTeam(event) }
if (event.bot.result === "bot") { await blockVisitor(event.visitorId) }}Use a ação Test em um webhook (ou POST .../webhooks/:webhookId/test)
para enviar um payload de amostra assinado ao seu endpoint e confirmar que ele é alcançável e
está verificando assinaturas corretamente.
Para desenvolvimento local, exponha seu servidor com um túnel como o ngrok:
ngrok http 3000# Use the generated URL as your webhook endpoint