Conectando Sistemas: Guia Prático de APIs e Integração com Webhooks
Conectando Sistemas: Guia Prático de APIs e Integração com Webhooks
Introdução
No cenário atual, empresas precisam trocar informações entre diferentes aplicações em tempo real ou quase real. Seja para sincronizar clientes, registrar pagamentos ou atualizar estoques, a comunicação entre sistemas costuma acontecer por meio de APIs (Interface de Programação de Aplicações) e webhooks. Enquanto a API permite que um cliente solicite dados a um servidor, o webhook devolve eventos de forma assíncrona, reduzindo a necessidade de polling constante.
Este artigo traz um panorama completo das principais decisões de design, segurança e performance ao criar integrações empresariais. Você encontrará:
Conceitos essenciais que todo desenvolvedor deve dominar. Boas práticas de construção de endpoints robustos. Um passo‑a‑passo para implementar webhooks seguros. Exemplos reais em Node.js (Express) e Python (Flask) que podem ser copiados e adaptados imediatamente.
Vamos transformar a teoria em código funcional!
1. Conceitos fundamentais de integração
| Conceito | Por que importa? | Exemplo típico |
|---|---|---|
| Formato de mensagem | JSON é legível, leve e amplamente suportado. | { "id": 123, "status": "paid" } |
| Protocolo | HTTP/HTTPS garante interoperabilidade e segurança nativa. | GET https://api.exemplo.com/v1/orders |
| Autenticação | Evita acesso não autorizado. | OAuth2, API keys, JWT |
| Versionamento | Permite evoluir a API sem quebrar clientes antigos. | /v1/users, /v2/users |
| Idempotência | Garante que chamadas repetidas não causem efeitos colaterais. | PUT /orders/123 |
1.1. Autenticação baseada em OAuth2
OAuth2 é o padrão de fato para autorizar aplicativos de terceiros. O fluxo Client Credentials funciona bem para integrações máquina‑a‑máquina:
# 1️⃣ Solicita um token ao servidor de autorização
curl -X POST https://auth.exemplo.com/oauth/token \
-d 'grant_type=client_credentials' \
-d 'client_id=MEU_CLIENT_ID' \
-d 'client_secret=MEU_CLIENT_SECRET'
A resposta contém:
{
"access_token": "eyJhbGciOi...V4",
"token_type": "Bearer",
"expires_in": 3600
}
Esse token deve ser incluído no cabeçalho Authorization de todas as requisições à API.
2. Design de APIs para integração
2.1. Estrutura de endpoints
- Recursos: Use substantivos no plural (
/customers,/invoices). - Operações: Mapeie os verbos HTTP (
GET,POST,PUT,DELETE). - Paginação: Evite retornar grandes volumes de dados de uma só vez.
GET /v1/customers?page=2&size=502.2. Controle de taxa (rate limiting)
Para proteger seu serviço contra abusos, implemente limites de requisições por IP ou por cliente:
// Express + express-rate-limit
const rateLimit = require('express-rate-limit');
const apiLimiter = rateLimit({
windowMs: 60 * 1000, // 1 minuto
max: 120, // 120 requisições por minuto
message: { error: 'Limite de requisições excedido' }
});
app.use('/v1/', apiLimiter);
2.3. Padronização de erros
Um contrato de erro consistente facilita o tratamento nos clientes:
{
"code": "INVALID_INPUT",
"message": "O campo 'email' é obrigatório",
"details": [
{ "field": "email", "issue": "missing" }
]
}
2.4. Validação com JSON Schema
Definir um JSON Schema para cada payload garante que os dados recebidos estejam corretos antes de processá‑los.
{
"$schema": "http://json-schema.org/draft-07/schema#",
"title": "Invoice",
"type": "object",
"required": ["id", "amount", "currency"],
"properties": {
"id": { "type": "integer" },
"amount": { "type": "number", "minimum": 0 },
"currency": { "type": "string", "pattern": "^[A-Z]{3}$" }
}
}
Em Node.js, a biblioteca ajv valida rapidamente:
const Ajv = require('ajv');
const ajv = new Ajv();
const schema = require('./schemas/invoice.json');
app.post('/v1/invoices', (req, res) => {
const validate = ajv.compile(schema);
if (!validate(req.body)) {
return res.status(400).json({
code: 'SCHEMA_VALIDATION',
message: 'Payload inválido',
details: validate.errors
});
}
// ...processamento...
});
3. Webhooks como ponte assíncrona
3.1. Como funciona um webhook
POST para a URL. 2xx para confirmar o recebimento.3.2. Segurança de webhooks
- Assinatura HMAC: O provedor inclui um cabeçalho
X-Signaturecalculado com um segredo compartilhado. - Validação de origem: Verifique o endereço IP ou domínio de quem enviou a chamada.
// Exemplo de verificação em Express
const crypto = require('crypto');
const SECRET = process.env.WEBHOOK_SECRET;
app.post('/webhooks/payment', (req, res) => {
const payload = JSON.stringify(req.body);
const signature = req.headers['x-signature']; // ex.: sha256=abcd...
const hash = crypto
.createHmac('sha256', SECRET)
.update(payload)
.digest('hex');
if (sha256=${hash} !== signature) {
return res.status(401).json({ error: 'Assinatura inválida' });
}
// Processa o evento
console.log('Evento recebido:', req.body);
res.sendStatus(200);
});
3.3. Estratégia de retries
Caso o receptor esteja indisponível, o provedor deve reenviar o webhook com back‑off exponencial. O receptor, por sua vez, deve ser idempotente: registrar o event_id e ignorar duplicatas.
4. Fluxos de integração leves
Para orquestrar chamadas entre múltiplas APIs sem criar uma camada complexa, ferramentas como n8n ou Make podem ser usadas, mas aqui focaremos em um script simples que coordena duas APIs usando Python e RabbitMQ como fila de mensagens.
4.1. Configurando a fila
# Instalação do RabbitMQ (Docker)
docker run -d --hostname rabbit --name rabbitmq \
-p 5672:5672 -p 15672:15672 rabbitmq:3-management
4.2. Produtor: envia tarefas de sincronização
```python
producer.py
import json, pika, requests, os
RABBIT_URL = os.getenv('RABBIT_URL', 'amqp://guest:guest@localhost:5672/') QUEUE = 'sync_tasks'
connection = pika.BlockingConnection(pika.URLParameters(RABBIT_URL)) channel = connection.channel() channel.queue_declare(queue=QUEUE, durable=True)
def schedule_sync(customer_id): payload = {'customer_id': customer_id} channel.basic_publish( exchange='', routing_key=QUEUE, body=json.dumps(payload), properties=pika.BasicProperties(delivery_mode=2) # persiste na fila ) print(f'Tarefa agendada para cliente {customer_id}')
Exemplo: cliente que acabou de ser criado no CRM
schedule_sync(42)
