Webhook para SMS recebido

Em vez de consultar o status repetidamente, um webhook avisa o seu sistema assim que o SMS chega. Este guia explica o conceito e mostra um exemplo de payload e de verificação de assinatura.

Resposta rápida

Um webhook de SMS recebido envia uma requisição ao seu endpoint quando o código chega — você não precisa ficar consultando o status. Valide a assinatura para garantir a origem. Os exemplos aqui são conceituais; veja a documentação oficial para detalhes.

Para que serve

Receber o código em tempo real, sem polling.
Reduzir chamadas de consulta.
Integrar notificações ao seu backend.
Garantir a origem com verificação de assinatura.

Como funciona

Configure a URL do seu endpoint.
Receba a notificação quando o SMS chegar.
Verifique a assinatura da requisição.
Processe o código com segurança.

Quando usar

Tempo real

Aja no instante em que o código chega, sem espera.

Menos carga

Evite consultas repetidas ao status.

Segurança

Aceite apenas requisições com assinatura válida.

Exemplos (conceituais)

Exemplos ilustrativos. Para a referência oficial de endpoints e autenticação, veja a documentação da API.

Exemplo de payload recebido (conceitual)

{
  "activationId": "123456",
  "text": "Seu codigo: 12345",
  "code": "12345",
  "country": 73,
  "receivedAt": "2026-06-26T13:00:00Z"
}

Verificar a assinatura (conceitual, Node.js)

import { createHmac, timingSafeEqual } from "crypto";

function verify(rawBody, signature, secret) {
  const expected = createHmac("sha256", secret).update(rawBody).digest("hex");
  return expected.length === signature.length &&
    timingSafeEqual(Buffer.from(expected), Buffer.from(signature));
}

Cuidados e uso permitido

Use números virtuais e temporários de forma legal, responsável e conforme as regras dos serviços que você utiliza. A plataforma não deve ser usada para fraude, spam, abuso, violação de direitos de terceiros, criação de contas não autorizadas ou tentativa de contornar sistemas de verificação.

Perguntas frequentes

Webhook substitui o polling?

Sim, na maioria dos casos. O polling pode ficar como reserva.

Como garanto a origem?

Verificando a assinatura (HMAC) e, se aplicável, a lista de IPs permitidos.

E se meu endpoint cair?

Implemente reenvio/idempotência; muitos sistemas tentam novamente.

Os exemplos são oficiais?

São conceituais; a referência oficial fica na documentação da API.

Preciso responder algo?

Em geral, responder 200 indica recebimento bem-sucedido.

Páginas relacionadas

Pronto para começar?

Ver documentação da API

RecebaSMS.ai