Saltar al contenido principal
  1. Lea el cuerpo de la petición tal cual (texto UTF-8). No lo modifique ni lo vuelva a serializar.
  2. Obtenga el valor del encabezado X-Telehealth-Signature. La plataforma envía solo el valor en hexadecimal minúsculas (sin prefijo tipo sha256=).
  3. Calcule HMAC-SHA256 usando como entrada el cuerpo (bytes UTF-8) y su secret (bytes UTF-8). Convierta el resultado a hexadecimal minúsculas.
  4. Compare ese valor con el del encabezado (comparación en tiempo constante). Si no coinciden, no procese la petición y responda 401 Unauthorized.
  5. Si coinciden, puede parsear el JSON y procesar el evento según X-Telehealth-Event o el campo event del cuerpo.
Seguridad: No confíe en el payload hasta haber verificado la firma. Ignorar este paso puede permitir que terceros envíen eventos falsos a su URL.
Ejemplos de código por lenguaje en Verificación de firma – ejemplos.