Webhook — Guide d’intégration

L’essentiel de l’intégration des Webhooks Vivoldi est la vérification de l’en-tête HTTP.

Chaque requête inclut X-Vivoldi-Request-Id, X-Vivoldi-Event-Id, X-Vivoldi-Signature, entre autres. En les validant, vous pouvez traiter les événements en toute sécurité.

Ce guide fournit descriptions des champs d’en-tête et exemples de code, afin que vous puissiez mettre en œuvre l’intégration des Webhooks rapidement, étape par étape.

HTTP Header

Les Webhooks envoient des requêtes POST à l’URL de Callback désignée, et l’intégrité ainsi que la fiabilité de la requête peuvent être vérifiées via les en-têtes ci-dessous.

HTTP Header

X-Vivoldi-Request-Id: e2ea0405b7ba4f0b9b75797179731ae0
X-Vivoldi-Event-Id: 89365c75dae740ac8500dfc48c5014b5
X-Vivoldi-Webhook-Type: GLOBAL
X-Vivoldi-Resource-Type: URL
X-Vivoldi-Comp-Idx: 50742
X-Vivoldi-Timestamp: 1758184391752
X-Content-SHA256: e040abf9ac2826bc108fce0117e49290086743733ad9db2fa379602b4db9792c
X-Vivoldi-Signature: t=1758184391752,v1=b610f699d4e7964cdb7612111f5765576920b680e7c33c649e20608406807aaf,alg=hmac-sha256

Request Parameters

X-Vivoldi-Request-Idstring: ID unique par requête. Une nouvelle valeur est générée pour chaque requête.
X-Vivoldi-Event-Idstring: ID unique de l’événement. Reste identique pour la requête initiale et les réessais.
X-Vivoldi-Webhook-Typestring
Default:GLOBAL
Enum: GLOBALGROUP: Défini sur GROUP si un Webhook de groupe est activé.
X-Vivoldi-Resource-Typestring
Enum: URLCOUPON: URL : Lien court, COUPON : Coupon
X-Vivoldi-Comp-Idxinteger: ID unique de l’organisation.
X-Vivoldi-Timestampinteger: Heure de la requête (secondes epoch UNIX). Tolérance recommandée : ±1 minute.
X-Content-SHA256string: Valeur de hachage SHA-256 du payload de la requête.
X-Vivoldi-Signaturestring: Informations de signature de la requête. t=horodatage, v1=valeur de la signature, alg=algorithme.

Politique de transmission · réponse · réessais

Critères de réussite

Considéré comme réussi si le serveur récepteur renvoie une réponse HTTP 2xx (ex. : 200).
Après vérification de la signature, retournez 200 OK immédiatement. Le délai d’expiration est de 5 secondes, donc les traitements longs doivent être exécutés en mode asynchrone après la réponse.

Dans les environnements à fort trafic, un délai de réponse peut déclencher des réessais et générer des événements en double.

Réessais et désactivation

Jusqu’à 5 réessais en cas d’erreurs réseau ou de réponses autres que 2xx.
En cas de 5 échecs consécutifs, le Webhook est automatiquement désactivé et un e-mail d’alerte est envoyé à l’administrateur.
Prévention des doublons : vérifiez les doublons à l’aide de la valeur X-Vivoldi-Event-Id.

Les politiques peuvent être ajustées en fonction de l’environnement opérationnel.

Peut-on traiter un Webhook sans validation des en-têtes ?

Techniquement, il est possible de fonctionner en analysant uniquement le corps POST, mais cela est fortement déconseillé en environnement de production. Ignorer la validation des en-têtes présente les risques critiques suivants :

Risques majeurs :

Requêtes falsifiées (spoofing): Un attaquant pourrait envoyer de fausses requêtes se faisant passer pour Vivoldi, et votre système pourrait les accepter.
Altération des données : Si le payload est modifié en transit, l’absence de vérification de signature empêche de détecter la falsification.
Traitement en double : Une attaque par rejeu peut renvoyer plusieurs fois le même événement et provoquer des doublons.
Pas de traçabilité : Sans en-têtes comme Request/Event ID, le suivi, l’analyse et la reproduction des problèmes sont extrêmement difficiles.

{
    "linkId": "202509-event",
    "domain": "https://event.com",
    "compIdx": 50142,
    "redirectType": 200,
    "url": "https://my-event.com/books/event/202509",
    "ttl": "September 2025 Event",
    "description": "The 2025 National Book Festival will be held in the nation's capital at the Walter E.",
    "metaImg": "https://my-event.com/storage-services/media/webcasts/2025/2509_thumbnail_00145901.jpg",
    "memo": "",
    "grpIdx": 0,
    "grpNm": "",
    "strtYmdt": "2025-09-01 00:00:00",
    "endYmdt": "2025-09-30 23:59:59",
    "expireYn": "Y",
    "expireUrl": "https://my-event.com/books/event/closed",
    "acesCnt": 17502,
    "pernCnt": 16491,
    "acesMaxCnt": 20000,
    "referer": "https://www.google.com",
    "queryString": "",
    "country": "US",
    "language": "en",
    "regYmdt": "2025-08-31 18:10:22",
    "modYmdt": "2025-08-31 18:10:22",
    "payloadVersion": "v1"
}

Payload Parameters

linkIdstring: ID du lien.
domainstring: Domaine du lien.
redirectTypeinteger
Enum: 200301302: Type de redirection. Pour plus de détails, consultez la page terminologie clé.
urlstring: URL d’origine.
ttlstring: Titre du lien.
descriptionstring: Définit la valeur de la balise meta description lorsque redirectType est 200.
metaImgstring: Définit la valeur de la balise meta image lorsque redirectType est 200.
memostring: Note pour la gestion du lien.
grpIdxinteger: IDX du groupe. Si un groupe est défini, le Webhook du groupe est appelé au lieu du global.
grpNmstring: Nom du groupe.
strtYmdtdatetime: Date/heure de début de validité du lien.
ednYmdtdatetime: Date/heure d’expiration du lien.
expireYnstring
Default:N
Enum: YN: Transmis comme Y lorsque le lien a expiré.
expireUrlstring: URL de redirection après expiration.
acesCntinteger: Nombre total de clics.
pernCntinteger: Nombre de clics uniques (utilisateurs uniques).
acesMaxCntinteger: Nombre maximum de clics autorisés. L’accès est bloqué une fois dépassé.
refererstring: URL de la page d’où provient la requête.
queryStringstring: Chaîne de requête incluse lors de l’accès à l’URL courte.
countrystring: Code pays de l’utilisateur (ISO-3166).
languagestring: Code de langue de l’utilisateur (ISO-639).
regYmdtdatetime: Date/heure de création du lien.
modYmdtdatetime: Date/heure de modification du lien.
payloadVersionstring: Version du payload. Augmente en cas de modifications ultérieures.

Coupon Webhook will be available soon.

Vérification de signature — Exemple de code

Les requêtes Webhook doivent être vérifiées à l’aide de l’en-tête X-Vivoldi-Signature et de la clé secrète émise pour le Webhook.

La signature est calculée en HMAC-SHA256 à partir de l’horodatage + du corps de la requête, et n’est considérée comme valide que si elle correspond à la valeur de l’en-tête.


import org.springframework.beans.factory.annotation.Value;
import org.springframework.http.ResponseEntity;
import org.springframework.web.bind.annotation.*;
import org.springframework.stereotype.Controller;
import org.apache.commons.codec.binary.Hex;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;
import java.security.MessageDigest;
import java.util.Map;

@RestController
@RequestMapping("/webhooks")
public class WebhookController {

    private static final Logger log = LoggerFactory.getLogger(WebhookController.class);

    @Value("${vivoldi.webhook.secret}")
    private String globalSecretKey;  // global secret key

    @PostMapping("/vivoldi")
    public ResponseEntity<String> handleWebhook(
            @RequestBody String payload,
            @RequestHeader Map<String, String> headers) {

        // Extracting the Vivoldi header
        String requestId = headers.get("x-vivoldi-request-id");
        String eventId = headers.get("x-vivoldi-event-id");
        String webhookType = headers.get("x-vivoldi-webhook-type");
        String resourceType = headers.get("x-vivoldi-resource-type");
        String signature = headers.get("x-vivoldi-signature");

        // Signature Verification
        if (!verifySignature(payload, signature, webhookType)) {
            return ResponseEntity.status(401).body("Invalid signature");
        }

        // Processing by Resource Type
        switch (resourceType) {
            case "URL":
                handleLink(payload);
                break;
            case "COUPON":
                handleCoupon(payload);
                break;
            default:
                log.warn("Unknown resourceType type: {}", resourceType);
        }

        return ResponseEntity.ok();
    }

    private boolean verifySignature(String payload, String signature, String webhookType) {
        try {
            String timestamp = null;
            String sig = null;
            for (String part : signature.split(",")) {
                part = part.trim();
                if (part.startsWith("t=")) timestamp = part.substring(2);
                if (part.startsWith("v1=")) sig = part.substring(3);
            }
            if (timestamp == null || sig == null) return false;

            String signedPayload = timestamp + "." + payload;
            String secretKey = webhookType.equals("GLOBAL") ? globalSecretKey : "";
            if (secretKey.isEmpty()) {
                JSONObject jsonObj = new JSONObject(payload);
                int grpIdx = jsonObj.optInt("grpIdx", -1);
                secretKey = loadGroupSecretKey(grpIdx); // In actual production environments, database integration
            }
            if (secretKey == null || secretKey.isEmpty()) return false;

            Mac mac = Mac.getInstance("HmacSHA256");
            mac.init(new SecretKeySpec(secretKey.getBytes(StandardCharsets.UTF_8), "HmacSHA256"));
            byte[] hash = mac.doFinal(signedPayload.getBytes(StandardCharsets.UTF_8));
            String computedSig = Hex.encodeHexString(hash);

            return MessageDigest.isEqual(
                sig.toLowerCase().getBytes(StandardCharsets.UTF_8),
                computedSig.toLowerCase().getBytes(StandardCharsets.UTF_8)
            );
        } catch (Exception e) {
            log.error("Signature verification failed", e);
            return false;
        }
    }

    private String loadGroupSecretKey(int grpIdx) {
        switch (grpIdx) {
            case 3570: return "your-group-secret-key-3570";
            case 4178: return "your-group-secret-key-4178";
            default: return "";
        }
    }

    private void handleLink(String payload) {
        // Link Click Event Handling Logic
        log.info("Link clicked: {}", payload);
    }

    private void handleCoupon(String payload) {
        // Coupon Usage Event Handling Logic
        log.info("Coupon redeemed: {}", payload);
    }
}


<?php
// Environment Settings
$globalSecretKey = $_ENV['VIVOLDI_WEBHOOK_SECRET'] ?? 'your-global-secret-key';

/**
 * Main Webhook Handler Function
 */
function handleWebhook($payload) {
    // Header Information Extraction
    $headers = array_change_key_case(getallheaders(), CASE_LOWER);
    $requestId = $headers['x-vivoldi-request-id'] ?? '';
    $eventId = $headers['x-vivoldi-event-id'] ?? '';
    $webhookType = $headers['x-vivoldi-webhook-type'] ?? '';
    $resourceType = $headers['x-vivoldi-resource-type'] ?? '';
    $signature = $headers['x-vivoldi-signature'] ?? '';

    // Signature Verification
    if (!verifySignature($payload, $signature, $webhookType)) {
        http_response_code(401);
        echo json_encode(['error' => 'Invalid signature']);
        return;
    }

    // Processing by Resource Type
    switch ($resourceType) {
        case 'URL':
            handleLink($payload);
            break;
        case 'COUPON':
            handleCoupon($payload);
            break;
        default:
            error_log('Unknown resourceType: ' . $resourceType);
    }

    http_response_code(200);
    echo json_encode(['status' => 'success']);
}

/**
 * HMAC-SHA256 Signature Verification Function
 */
function verifySignature($payload, $signature, $webhookType) {
    try {
        $timestamp = null;
        $sig = null;
        foreach (explode(',', $signature) as $part) {
            $part = trim($part);
            if (strpos($part, 't=') === 0) $timestamp = substr($part, 2);
            if (strpos($part, 'v1=') === 0) $sig = substr($part, 3);
        }
        if (!$timestamp || !$sig) return false;

        // Timestamp Tolerance Verification (±60 seconds)
        if (abs(time() - (int)$timestamp) > 60) {
            return false;
        }

        $signedPayload = $timestamp . '.' . $payload;
        $secretKey = getSecretKey($webhookType, $payload);
        if (empty($secretKey)) return false;

        $computedSig = hash_hmac('sha256', $signedPayload, $secretKey);

        // Safety Comparison (lowercase throughout)
        return hash_equals(strtolower($sig), strtolower($computedSig));
    } catch (Exception $e) {
        error_log('Signature verification failed: ' . $e->getMessage());
        return false;
    }
}

/**
 * Secret Key Return Based on Webhook Type and Group
 */
function getSecretKey($webhookType, $payload) {
    global $globalSecretKey;

    if ($webhookType === 'GLOBAL') {
        return $globalSecretKey;
    }

    // Group-Specific Secret Key Configuration
    $jsonData = json_decode($payload, true);
    if (!isset($jsonData['grpIdx'])) {
        return '';
    }

    $grpIdx = $jsonData['grpIdx'];
    switch ($grpIdx) {
        case 3570:
            return 'your group secret key for 3570';
        case 4178:
            return 'your group secret key for 4178';
        default:
            return '';
    }
}

/**
 * Link Event Handler Function
 */
function handleLink($payload) {
    error_log('Link clicked: ' . $payload);

    // Processing link information by parsing JSON
    $linkData = json_decode($payload, true);

    if ($linkData) {
        // Link Click Statistics Update
        $linkId = $linkData['linkId'] ?? '';
        $clickTime = $linkData['timestamp'] ?? time();
        $userAgent = $linkData['userAgent'] ?? '';

        // Storing click information in the database
        saveClickEvent($linkId, $clickTime, $userAgent);

        error_log("Link {$linkId} clicked at {$clickTime}");
    }
}

/**
 * Coupon Event Handling Function
 */
function handleCoupon($payload) {
    error_log('Coupon redeemed: ' . $payload);

    // Parsing JSON to process coupon information
    $couponData = json_decode($payload, true);

    if ($couponData) {
        // Coupon Usage Information Processing
        $couponCode = $couponData['couponCode'] ?? '';
        $redeemTime = $couponData['timestamp'] ?? time();
        $userId = $couponData['userId'] ?? '';

        // Storing coupon usage information in the database
        saveCouponRedemption($couponCode, $userId, $redeemTime);

        error_log("Coupon {$couponCode} redeemed by user {$userId}");
    }
}

/**
 * Store click events in the database
 */
function saveClickEvent($linkId, $clickTime, $userAgent) {
    // Implementation of actual database integration logic
    // Example: Stored in MySQL, PostgreSQL, etc.

    error_log("Saving click event - Link: {$linkId}, Time: {$clickTime}");
}

/**
 * Store coupon usage information in the database
 */
function saveCouponRedemption($couponCode, $userId, $redeemTime) {
    // Implementation of actual database integration logic
    // Example: Updating coupon status, storing usage history, etc.

    error_log("Saving coupon redemption - Code: {$couponCode}, User: {$userId}");
}

/**
 * Log recording function
 */
function logWebhookEvent($eventType, $data) {
    $timestamp = date('Y-m-d H:i:s');
    $logMessage = "[{$timestamp}] {$eventType}: " . json_encode($data);
    error_log($logMessage);
}

// ===========================================
// Webhook Endpoint Execution Unit
// ===========================================

if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    $payload = file_get_contents('php://input');
    handleWebhook($payload);
} else {
    http_response_code(405);
    echo json_encode(['error' => 'Method not allowed']);
}
?>


const express = require('express');
const crypto = require('crypto');
const app = express();

// Environment Settings
const globalSecretKey = process.env.VIVOLDI_WEBHOOK_SECRET || 'your-global-secret-key';

// Form data parser for webhook payloads
app.use(express.raw({ type: '*/*' }));

/**
 * Main Webhook Handler Function
 */
function handleWebhook(headers, res, payload) {
    const requestId = headers['x-vivoldi-request-id'] || '';
    const eventId = headers['x-vivoldi-event-id'] || '';
    const webhookType = headers['x-vivoldi-webhook-type'] || '';
    const resourceType = headers['x-vivoldi-resource-type'] || '';
    const signature = headers['x-vivoldi-signature'] || '';

    // Signature Verification
    if (!verifySignature(payload, signature, webhookType)) {
        res.status(401).json({ error: 'Invalid signature' });
        return;
    }

    // Processing by Resource Type
    switch (resourceType) {
        case 'URL':
            handleLink(payload);
            break;
        case 'COUPON':
            handleCoupon(payload);
            break;
        default:
            console.error('Unknown resourceType: ' + resourceType);
    }

    res.status(200).json({ status: 'success' });
}

/**
 * HMAC-SHA256 Signature Verification Function
 */
function verifySignature(payload, signature, webhookType) {
    try {
        let timestamp, sig;
        for (const part of signature.split(',')) {
            const p = part.trim();
            if (p.startsWith('t=')) timestamp = p.slice(2);
            if (p.startsWith('v1=')) sig = p.slice(3);
        }
        if (!timestamp || !sig) return false;

        // Timestamp check (±60s)
        if (Math.abs(Date.now()/1000 - Number(timestamp)) > 60) return false;

        const signedPayload = `${timestamp}.${payload}`;

        // Secret Key Determination
        const secretKey = getSecretKey(webhookType, payload);
        if (!secretKey) return false;

        // HMAC-SHA256 Signature Calculation
        const computedSig = crypto
            .createHmac('sha256', secretKey)
            .update(signedPayload)
            .digest('hex');

        // Timing-Safe Comparison
        return crypto.timingSafeEqual(
            Buffer.from(sig.toLowerCase(), 'hex'),
            Buffer.from(computedSig.toLowerCase(), 'hex')
        );
    } catch (e) {
        console.error('Signature verification failed: ' + e.message);
        return false;
    }
}

/**
 * Secret Key Return Based on Webhook Type and Group
 */
function getSecretKey(webhookType, payload) {
    if (webhookType === 'GLOBAL') {
        return globalSecretKey;
    }

    // Group-Specific Secret Key Configuration
    let jsonData;
    try {
        jsonData = JSON.parse(payload);
    } catch (error) {
        return '';
    }

    if (!jsonData.grpIdx) {
        return '';
    }

    const grpIdx = jsonData.grpIdx;
    switch (grpIdx) {
        case 3570:
            return 'your group secret key for 3570';
        case 4178:
            return 'your group secret key for 4178';
        default:
            return '';
    }
}

/**
 * Link Event Handler Function
 */
function handleLink(payload) {
    console.error('Link clicked: ' + payload);

    // Processing link information by parsing JSON
    let linkData;
    try {
        linkData = JSON.parse(payload);
    } catch (error) {
        return;
    }

    if (linkData) {
        // Link Click Statistics Update
        const linkId = linkData.linkId || '';
        const clickTime = linkData.timestamp || Math.floor(Date.now() / 1000);
        const userAgent = linkData.userAgent || '';

        // Storing click information in the database
        saveClickEvent(linkId, clickTime, userAgent);

        console.error(`Link ${linkId} clicked at ${clickTime}`);
    }
}

/**
 * Coupon Event Handling Function
 */
function handleCoupon(payload) {
    console.error('Coupon redeemed: ' + payload);

    // Parsing JSON to process coupon information
    let couponData;
    try {
        couponData = JSON.parse(payload);
    } catch (error) {
        return;
    }

    if (couponData) {
        // Coupon Usage Information Processing
        const couponCode = couponData.couponCode || '';
        const redeemTime = couponData.timestamp || Math.floor(Date.now() / 1000);
        const userId = couponData.userId || '';

        // Storing coupon usage information in the database
        saveCouponRedemption(couponCode, userId, redeemTime);

        console.error(`Coupon ${couponCode} redeemed by user ${userId}`);
    }
}

/**
 * Store click events in the database
 */
function saveClickEvent(linkId, clickTime, userAgent) {
    // Implementation of actual database integration logic
    // Example: Stored in MongoDB, MySQL, PostgreSQL, etc.

    console.error(`Saving click event - Link: ${linkId}, Time: ${clickTime}`);
}

/**
 * Store coupon usage information in the database
 */
function saveCouponRedemption(couponCode, userId, redeemTime) {
    // Implementation of actual database integration logic
    // Example: Updating coupon status, storing usage history, etc.

    console.error(`Saving coupon redemption - Code: ${couponCode}, User: ${userId}`);
}

/**
 * Log recording function
 */
function logWebhookEvent(eventType, data) {
    const timestamp = new Date().toISOString().replace('T', ' ').substring(0, 19);
    const logMessage = `[${timestamp}] ${eventType}: ${JSON.stringify(data)}`;
    console.error(logMessage);
}

// ===========================================
// Webhook Endpoint Execution Unit
// ===========================================

app.post('/webhook/vivoldi', (req, res) => {
    const payload = req.body.toString('utf8');
    const headers = req.headers;

    if (!verifySignature(payload, headers['x-vivoldi-signature'], headers['x-vivoldi-webhook-type'])) {
        return res.status(401).json({ error: 'Invalid signature' });
    }

    const payload = req.body.toString('utf8');
    handleWebhook(req.headers, res, payload);
});

const PORT = process.env.PORT || 3000;
app.listen(PORT, () => {
    console.log(`Webhook server running on port ${PORT}`);
});

✨ Intégration en temps réel de niveau Enterprise

Les Webhooks connectent les données en temps réel à vos systèmes de CRM et paiements et analyses.

La haute disponibilité, la mise en file d’attente et les nouvelles tentatives haute performance, ainsi que les fonctions de sécurité avancées sont disponibles dans le forfait Enterprise.

Mise à niveau vers Enterprise

Raccourcisseur d’URL

Outils en Ligne

Tutoriels

Articles de Blog

Webhook — Guide d’intégration

HTTP Header

HTTP Header

Request Parameters

Politique de transmission · réponse · réessais

Critères de réussite

Réessais et désactivation

Peut-on traiter un Webhook sans validation des en-têtes ?

Payload

Payload Parameters

Vérification de signature — Exemple de code

✨ Intégration en temps réel de niveau Enterprise

Raccourcisseur d’URL

Outils en Ligne

Tutoriels

Articles de Blog

🌐 Serveur & Hébergement

Webhook — Guide d’intégration

HTTP Header

HTTP Header

Request Parameters

Politique de transmission · réponse · réessais

Critères de réussite

Réessais et désactivation

Peut-on traiter un Webhook sans validation des en-têtes ?

Payload

Payload Parameters

Vérification de signature — Exemple de code

✨ Intégration en temps réel de niveau Enterprise