Webhooks

Erhalte Echtzeit-Benachrichtigungen wenn sich Daten ändern. Brutlers sendet HTTP-POST-Requests an deine registrierte URL.

Webhook einrichten

Registriere eine URL die HTTP-POST-Requests empfangen kann. Du erhältst ein Secret zur Signatur-Verifizierung.

POST

/api/vendor/webhooks

Registriere einen neuen Webhook. Das Secret wird nur einmal angezeigt.

bash

curl -X POST https://brutlers.com/api/vendor/webhooks \
  -H "X-Api-Key: brut_your_api_key_here" \
  -H "Content-Type: application/json" \
  -d '{
    "url": "https://meine-app.de/webhooks/brutlers",
    "events": ["order.created", "order.status_changed"]
  }'

Maximal 5 Webhooks pro Vendor

Verfügbare Events

Event	Description
order.created	Neuer Auftrag erstellt
order.status_changed	Auftragsstatus geändert
inquiry.received	Neue Anfrage eingegangen
appointment.confirmed	Termin bestätigt
appointment.cancelled	Termin storniert
customer.created	Neuer Kunde erstellt

Payload-Format

Jeder Webhook-Request enthält einen JSON-Body mit dem Event-Typ und den zugehörigen Daten.

json

{
  "event": "order.status_changed",
  "data": {
    "id": "clx1234567890abcdef",
    "status": "FITTING_READY",
    "previousStatus": "IN_PRODUCTION",
    "customerId": "clx0987654321fedcba",
    "updatedAt": "2026-04-15T10:00:00.000Z"
  },
  "timestamp": "2026-04-15T10:00:01.234Z"
}

Signatur-Verifizierung

Jeder Request enthält einen HMAC-SHA256-Signatur-Header. Verifiziere die Signatur um sicherzustellen, dass der Request von Brutlers stammt.

Header

X-Brutlers-Signature

javascript

import { createHmac } from "crypto";

function verifySignature(body, signature, secret) {
  const expected = createHmac("sha256", secret)
    .update(body)
    .digest("hex");
  return signature === expected;
}

// Express/Next.js example
app.post("/webhooks/brutlers", (req, res) => {
  const signature = req.headers["x-brutlers-signature"];
  const body = JSON.stringify(req.body);

  if (!verifySignature(body, signature, process.env.WEBHOOK_SECRET)) {
    return res.status(401).send("Invalid signature");
  }

  const { event, data } = req.body;
  console.log(`Event: ${event}`, data);
  res.status(200).send("OK");
});

Retry-Policy

Bei Fehlern (Status ≠ 2xx oder Timeout) wird der Webhook bis zu 3x wiederholt:

11. Versuch: nach 1 Minute
22. Versuch: nach 5 Minuten
33. Versuch: nach 30 Minuten

Webhook-Verwaltung

GET

/api/vendor/webhooks

Registriere einen neuen Webhook. Das Secret wird nur einmal angezeigt.

PUT

/api/vendor/webhooks/:id

Aktualisiere URL, Events oder Status eines Webhooks.

DELETE

/api/vendor/webhooks/:id

Lösche einen Webhook und alle zugehörigen Delivery-Logs.

Webhook einrichten

Registriere eine URL die HTTP-POST-Requests empfangen kann. Du erhältst ein Secret zur Signatur-Verifizierung.

POST

/api/vendor/webhooks

Registriere einen neuen Webhook. Das Secret wird nur einmal angezeigt.

bash

curl -X POST https://brutlers.com/api/vendor/webhooks \
  -H "X-Api-Key: brut_your_api_key_here" \
  -H "Content-Type: application/json" \
  -d '{
    "url": "https://meine-app.de/webhooks/brutlers",
    "events": ["order.created", "order.status_changed"]
  }'

Maximal 5 Webhooks pro Vendor

Event

Description

order.created

Neuer Auftrag erstellt

order.status_changed

Auftragsstatus geändert

inquiry.received

Neue Anfrage eingegangen

appointment.confirmed

Termin bestätigt

appointment.cancelled

Termin storniert

customer.created

Neuer Kunde erstellt

Payload-Format

Jeder Webhook-Request enthält einen JSON-Body mit dem Event-Typ und den zugehörigen Daten.

json

{
  "event": "order.status_changed",
  "data": {
    "id": "clx1234567890abcdef",
    "status": "FITTING_READY",
    "previousStatus": "IN_PRODUCTION",
    "customerId": "clx0987654321fedcba",
    "updatedAt": "2026-04-15T10:00:00.000Z"
  },
  "timestamp": "2026-04-15T10:00:01.234Z"
}

Signatur-Verifizierung

Jeder Request enthält einen HMAC-SHA256-Signatur-Header. Verifiziere die Signatur um sicherzustellen, dass der Request von Brutlers stammt.

Header

X-Brutlers-Signature

javascript

import { createHmac } from "crypto";

function verifySignature(body, signature, secret) {
  const expected = createHmac("sha256", secret)
    .update(body)
    .digest("hex");
  return signature === expected;
}

// Express/Next.js example
app.post("/webhooks/brutlers", (req, res) => {
  const signature = req.headers["x-brutlers-signature"];
  const body = JSON.stringify(req.body);

  if (!verifySignature(body, signature, process.env.WEBHOOK_SECRET)) {
    return res.status(401).send("Invalid signature");
  }

  const { event, data } = req.body;
  console.log(`Event: ${event}`, data);
  res.status(200).send("OK");
});