> ## Documentation Index
> Fetch the complete documentation index at: https://docs.lerian.studio/llms.txt
> Use this file to discover all available pages before exploring further.

# Recibir un webhook de aggregator

> Recibe un webhook de aggregator Pluggy/Belvo y extrae asincrónicamente los datos señalados hacia el pipeline de ingesta. Esta ruta no lleva JWT de operador. Se autentica mediante un token opaco en la ruta de la URL (resuelto a un binding de tenant en el servidor, nunca declarado) MÁS una comprobación de origen por proveedor: un HMAC-SHA256 válido del cuerpo sin procesar en el encabezado X-Webhook-Signature, O pertenencia a la lista de IP permitidas del proveedor. Ambas capas fallan de forma segura; el tenant se deriva únicamente del binding de token resuelto.



## OpenAPI

````yaml es/openapi/v3-current/matcher.yaml post /v1/discovery/webhooks/{provider}/{webhookToken}
openapi: 3.1.0
info:
  title: Matcher APIs
  description: >-
    Referencia completa de la API para el motor de conciliación Matcher, que
    proporciona conciliación automatizada de transacciones entre Midaz Ledger y
    sistemas externos.
  version: 4.1.0
  license:
    name: Elastic License 2.0
    url: https://www.elastic.co/licensing/elastic-license
servers:
  - url: https://matcher.sandbox.lerian.net
security: []
paths:
  /v1/discovery/webhooks/{provider}/{webhookToken}:
    post:
      tags:
        - Discovery
      summary: Recibir un webhook de aggregator
      description: >-
        Recibe un webhook de aggregator Pluggy/Belvo y extrae asincrónicamente
        los datos señalados hacia el pipeline de ingesta. Esta ruta no lleva JWT
        de operador. Se autentica mediante un token opaco en la ruta de la URL
        (resuelto a un binding de tenant en el servidor, nunca declarado) MÁS
        una comprobación de origen por proveedor: un HMAC-SHA256 válido del
        cuerpo sin procesar en el encabezado X-Webhook-Signature, O pertenencia
        a la lista de IP permitidas del proveedor. Ambas capas fallan de forma
        segura; el tenant se deriva únicamente del binding de token resuelto.
      operationId: receiveAggregatorWebhook
      parameters:
        - description: Aggregator provider the token was minted for (pluggy or belvo)
          in: path
          name: provider
          required: true
          schema:
            description: >-
              Proveedor de aggregator para el que se emitió el token (pluggy o
              belvo)
            examples:
              - pluggy
            type: string
        - description: >-
            Opaque webhook token minted for the connection; hashed and resolved
            to a tenant binding server-side
          in: path
          name: webhookToken
          required: true
          schema:
            description: >-
              Token de webhook opaco emitido para la conexión; con hash y
              resuelto a un binding de tenant en el servidor
            type: string
        - description: >-
            Hex HMAC-SHA256 of the raw body for signing providers; omitted by
            IP-allowlist providers
          in: header
          name: X-Webhook-Signature
          schema:
            description: >-
              HMAC-SHA256 hex del cuerpo sin procesar para proveedores con
              firma; se omite en proveedores con lista de IP permitidas
            type: string
      requestBody:
        content:
          application/octet-stream:
            schema:
              contentMediaType: application/octet-stream
              format: binary
              type: string
        required: true
      responses:
        '202':
          description: Aceptado
        default:
          content:
            application/problem+json:
              schema:
                $ref: '#/components/schemas/Detail'
          description: Error
      security:
        - {}
        - WebhookSignature: []
components:
  schemas:
    Detail:
      additionalProperties: false
      properties:
        code:
          description: >-
            Código de error de dominio estable y legible por máquina con alcance
            al servicio emisor (formato: <SERVICE>-NNNN).
          examples:
            - ERR-0001
          type: string
        detail:
          description: >-
            Una explicación legible por humanos específica de esta ocurrencia
            del problema.
          examples:
            - Property foo is required but is missing.
          type: string
        errors:
          description: Lista opcional de detalles de errores individuales
          items:
            $ref: '#/components/schemas/ErrorDetail'
          type:
            - array
            - 'null'
        instance:
          description: >-
            Una referencia URI que identifica la ocurrencia específica del
            problema.
          examples:
            - https://example.com/error-log/abc123
          format: uri
          type: string
        status:
          description: Código de estado HTTP
          examples:
            - 400
          format: int64
          type: integer
        title:
          description: >-
            Un resumen breve y legible por humanos del tipo de problema. Este
            valor no debería cambiar entre ocurrencias del error.
          examples:
            - Bad Request
          type: string
        type:
          default: about:blank
          description: >-
            Una referencia URI a documentación legible por humanos para el
            error.
          examples:
            - https://example.com/errors/example
          format: uri
          type: string
      type: object
    ErrorDetail:
      additionalProperties: false
      properties:
        location:
          description: >-
            Dónde ocurrió el error, p. ej. 'body.items[3].tags' o
            'path.thing-id'
          type: string
        message:
          description: Texto del mensaje de error
          type: string
        value:
          description: El valor en la ubicación indicada
      type: object
  securitySchemes:
    WebhookSignature:
      description: >-
        HMAC-SHA256 hex del cuerpo de la solicitud sin procesar, que prueba que
        un webhook de aggregator entrante se originó del proveedor configurado.
      in: header
      name: X-Webhook-Signature
      type: apiKey

````