Executando verificação de segurança...
5

[DESABAFO] DOCUMENTAÇÃO MERCADO PAGO

E se você se sentisse perdido em um código, achando que o problema estava entre seu computador e a cadeira e depois de muito tempo descobrisse que o problema não tinha nadaver com você?

Essa publicação aqui é mais um desabafo mesmo, eu já havia ouvido falar que a documentação do mercado pago é largada, mas oq aconteceu aqui foi triste.

Há um mês atrás me surgiu um problema que eu não encontrava solução nenhuma, trabalho na área a 6 anos e aconteceu uma coisa que nunca aconteceu comigo, eu e um amigo ficamos estagnados em uma funcionalidade do mercado pago

Em resumo, o problema reside na criptografia fornecida pelo Mercado Pago para validar a assinatura de um webhook, que atualmente não está funcionando há mais de um mês (ou até mais tempo).

Antes que se pergunte, sim, usamos o ChatGPT como todo bom programador antes de sair pedindo ajuda em comunidades, mas sem nenhuma solução

Procuramos socorro em diversos lugares, tanto no suporte privado do mercado pago quanto na comunidade de ajuda do discord, inclusive aqui mesmo no tabnews cheguei a fazer uma publicação pedindo ajuda
https://www.tabnews.com.br/honassis/duvida-assinatura-webhook-mercado-pago-php

aqui a baixo está a dúvida também postada na comunidade do discord
minha duvida

Preciso deixar claro que a ausência dessa funcionalidade de x-signature não torna inútil nem vulnerável todo o uso da API do Mercado Pago... conseguimos implementar a API com a ausência dela, mas segurança em uma aplicação nunca é demais, poxa, se tá na documentação era pra pelo menos funcionar

Hoje 16 de fevereiro de 2024, Um mês depois me responderam dizendo que a funcionalidade de assinatura deles está errada:

resposta do mercado pago

Pelo menos fico feliz que identificaram o erro e vão verificar o que tá acontecendo.

o que me fez fazer essa publicação é que tenho certeza que muitos programadores devem ter passado por esse tópico na documentação e provavelmente assim como eu ,perderam um bom tempo ou dias procurando um erro onde o erro não está do nosso lado. passei vários dias indignado de porque não funcionava, pelo menos hoje

atualização 29/02/2024

fico feliz em saber que fui ouvido juntamente com outros programadores e que o mercado pago implementou atualizações pra resolver isso, o bom de criar comunidades é isso, juntos conseguimos fazer uma diferença para mudarmos algo 🙏

resposta do mercado pago

Carregando publicação patrocinada...
3

Recentemente resolvi "fuçar" nessa API, e sinceramente me arrependi profundamente, porque, além de ser completamente confusa, está desatualizada e isso vale tanto para a API do Mercado Pago quanto para a do Mercado Livre.

Não sei se te ajuda mas quando eu estava usando a API acabei fazendo um mapa mental para poder me organizar melhor.

2

Documentação deficitária, há anos com componentes sem ajuste ou atualização
apenas a comunidade ajuda a comunidade, jogados ao acaso a espera de um milagre

1

estou com o mesmo problema, aparentemente parou de funcionar de novo ou o problema esta entre o o pc e a cadeira kkkkk

se puder me dar uma força e verificar se está correto, agradeceria! Estou fazendo em NODE JS

const idPurchase = data.id;
const parts = signature.toString().split(",");
const timestamp = parts[0].split("=")[1];
const acess_token_mp = parts[1].split("=")[1];

const signatureTemplate = `id:[${idPurchase}];request-id:[${acess_token_mp}];ts:    [${timestamp}];
`;

const cyphedSignature = crypto
  .createHmac("sha256", MP_WEBHOOK_SECRET)
  .update(signatureTemplate)
  .digest("hex");
0
1

Boa tarde Pessoal, agora 10/01/2024 quase 10 meses depois deste post, estou enfrentando o mesmo problema, eu estava a dias tentando entender oque Eu estava fazendo de errado srsrrsrs, mas realmente o x-signature sai do MP e chega no meu webhook totalemnte diferente. a integraçao que estou fazendo é para um ecommerce B2B salesforce, linguagem Apex(javalike) e o problema é exatamente o mesmo descrito aqui. tbm encontrei o seu post no discord @honassis, gostaria de agradecer pela postagem, vou seguir aqui (possivelmente sem o x-signature).

novamente obrigado por postar, agora sei que ainda não fiquei louco kkkkk

0

Boa tarde novamente pessoal!
passando para deixar aqui minha grotesca solução em relação a este problema em que o Mercado pago manda uma chave diferente da outra cada vez e nenhuma da match com a chave que foi gerada lá na configuração do proprio webhook no Mercado Pago.
minha solução foi adiciona a secret key como parametro no final da url lá no painel do mercado pago, ou seja, no fim da url eu adicionei um ?secretKey="chave secreta aqui" e colei a chave gerada pelo proprio mercado pago.
consegui recuperar com sucesso e fazer minha validação, também estou validando o proprio user_id (Id da Applicaçao criada no mercado pago). sei que não é o melhor jeito, mas espero que ajude alguns.