Webhooks

Recibe notificaciones en tiempo real cuando cambien los datos. Brutlers envía solicitudes HTTP POST a tu URL registrada.

Configurar un webhook

Registra una URL que pueda recibir solicitudes HTTP POST. Recibirás un secreto para la verificación de firma.

POST

/api/vendor/webhooks

Registra un nuevo webhook. El secreto solo se muestra una vez.

bash

curl -X POST https://brutlers.com/api/vendor/webhooks \
  -H "X-Api-Key: brut_your_api_key_here" \
  -H "Content-Type: application/json" \
  -d '{
    "url": "https://meine-app.de/webhooks/brutlers",
    "events": ["order.created", "order.status_changed"]
  }'

Máximo 5 webhooks por proveedor

Eventos disponibles

Event	Description
order.created	Nuevo pedido creado
order.status_changed	Estado del pedido modificado
inquiry.received	Nueva consulta recibida
appointment.confirmed	Cita confirmada
appointment.cancelled	Cita cancelada
customer.created	Nuevo cliente creado

Formato del payload

Cada solicitud webhook contiene un cuerpo JSON con el tipo de evento y los datos correspondientes.

json

{
  "event": "order.status_changed",
  "data": {
    "id": "clx1234567890abcdef",
    "status": "FITTING_READY",
    "previousStatus": "IN_PRODUCTION",
    "customerId": "clx0987654321fedcba",
    "updatedAt": "2026-04-15T10:00:00.000Z"
  },
  "timestamp": "2026-04-15T10:00:01.234Z"
}

Verificación de firma

Cada solicitud contiene una cabecera de firma HMAC-SHA256. Verifica la firma para asegurarte de que la solicitud proviene de Brutlers.

Header

X-Brutlers-Signature

javascript

import { createHmac } from "crypto";

function verifySignature(body, signature, secret) {
  const expected = createHmac("sha256", secret)
    .update(body)
    .digest("hex");
  return signature === expected;
}

// Express/Next.js example
app.post("/webhooks/brutlers", (req, res) => {
  const signature = req.headers["x-brutlers-signature"];
  const body = JSON.stringify(req.body);

  if (!verifySignature(body, signature, process.env.WEBHOOK_SECRET)) {
    return res.status(401).send("Invalid signature");
  }

  const { event, data } = req.body;
  console.log(`Event: ${event}`, data);
  res.status(200).send("OK");
});

Política de reintentos

Ante errores (estado ≠ 2xx o tiempo de espera agotado) el webhook se reintenta hasta 3 veces:

11.er intento: tras 1 minuto
22.º intento: tras 5 minutos
33.er intento: tras 30 minutos

Gestión de webhooks

GET

/api/vendor/webhooks

Registra un nuevo webhook. El secreto solo se muestra una vez.

PUT

/api/vendor/webhooks/:id

Actualiza la URL, los eventos o el estado de un webhook.

DELETE

/api/vendor/webhooks/:id

Elimina un webhook y todos sus registros de entrega asociados.

Configurar un webhook

Registra una URL que pueda recibir solicitudes HTTP POST. Recibirás un secreto para la verificación de firma.

POST

/api/vendor/webhooks

Registra un nuevo webhook. El secreto solo se muestra una vez.

bash

curl -X POST https://brutlers.com/api/vendor/webhooks \
  -H "X-Api-Key: brut_your_api_key_here" \
  -H "Content-Type: application/json" \
  -d '{
    "url": "https://meine-app.de/webhooks/brutlers",
    "events": ["order.created", "order.status_changed"]
  }'

Máximo 5 webhooks por proveedor

Event

Description

order.created

Nuevo pedido creado

order.status_changed

Estado del pedido modificado

inquiry.received

Nueva consulta recibida

appointment.confirmed

Cita confirmada

appointment.cancelled

Cita cancelada

customer.created

Nuevo cliente creado

Formato del payload

Cada solicitud webhook contiene un cuerpo JSON con el tipo de evento y los datos correspondientes.

json

{
  "event": "order.status_changed",
  "data": {
    "id": "clx1234567890abcdef",
    "status": "FITTING_READY",
    "previousStatus": "IN_PRODUCTION",
    "customerId": "clx0987654321fedcba",
    "updatedAt": "2026-04-15T10:00:00.000Z"
  },
  "timestamp": "2026-04-15T10:00:01.234Z"
}

Verificación de firma

Cada solicitud contiene una cabecera de firma HMAC-SHA256. Verifica la firma para asegurarte de que la solicitud proviene de Brutlers.

Header

X-Brutlers-Signature

javascript

import { createHmac } from "crypto";

function verifySignature(body, signature, secret) {
  const expected = createHmac("sha256", secret)
    .update(body)
    .digest("hex");
  return signature === expected;
}

// Express/Next.js example
app.post("/webhooks/brutlers", (req, res) => {
  const signature = req.headers["x-brutlers-signature"];
  const body = JSON.stringify(req.body);

  if (!verifySignature(body, signature, process.env.WEBHOOK_SECRET)) {
    return res.status(401).send("Invalid signature");
  }

  const { event, data } = req.body;
  console.log(`Event: ${event}`, data);
  res.status(200).send("OK");
});