Recibir un webhook de aggregator
Recibe un webhook de aggregator Pluggy/Belvo y extrae asincrónicamente los datos señalados hacia el pipeline de ingesta. Esta ruta no lleva JWT de operador. Se autentica mediante un token opaco en la ruta de la URL (resuelto a un binding de tenant en el servidor, nunca declarado) MÁS una comprobación de origen por proveedor: un HMAC-SHA256 válido del cuerpo sin procesar en el encabezado X-Webhook-Signature, O pertenencia a la lista de IP permitidas del proveedor. Ambas capas fallan de forma segura; el tenant se deriva únicamente del binding de token resuelto.
Autorizaciones
HMAC-SHA256 hex del cuerpo de la solicitud sin procesar, que prueba que un webhook de aggregator entrante se originó del proveedor configurado.
Encabezados
Hex HMAC-SHA256 of the raw body for signing providers; omitted by IP-allowlist providers HMAC-SHA256 hex del cuerpo sin procesar para proveedores con firma; se omite en proveedores con lista de IP permitidas
Parámetros de ruta
Aggregator provider the token was minted for (pluggy or belvo) Proveedor de aggregator para el que se emitió el token (pluggy o belvo)
"pluggy"
Opaque webhook token minted for the connection; hashed and resolved to a tenant binding server-side Token de webhook opaco emitido para la conexión; con hash y resuelto a un binding de tenant en el servidor
Cuerpo
The body is of type file.
Respuesta
Aceptado

