Homologação e go-live

Antes de colocar seu App em produção, valide o fluxo completo com este checklist.

Checklist de integração

  • O fluxo OAuth completa com sucesso (authorize → consent → token).
  • Seu App solicita apenas os escopos necessários e trata 403 insufficient_scope.
  • O access token é renovado via refresh_token antes de expirar (2h).
  • As chamadas usam valores monetários em reais (não centavos).
  • Os webhooks recebidos têm a assinatura validada via HMAC-SHA256.
  • Seu endpoint de webhook responde 2xx rapidamente e é idempotente.
  • As secrets ficam apenas no backend e são rotacionáveis/revogáveis.
  • Erros são lidos do campo error do corpo JSON (não apenas do status HTTP).
  • Respostas 5xx são tratadas com retry e backoff exponencial.
  • O endpoint de webhook responde 2xx imediatamente e processa em background (para não ser reenviado desnecessariamente).
  • Eventos de webhook são deduplicados usando o par event + workspaceId + data.id.
  • O novo refresh_token recebido a cada renovação é persistido (o anterior é invalidado imediatamente).

Boas práticas

  • Armazene access_token e refresh_token por loja.
  • Trate 429/5xx com retry e backoff.
  • Use state e PKCE no OAuth para prevenir CSRF e interceptação de code.
  • Mantenha mais de uma secret ativa durante rotação para evitar downtime.
Pronto para produção? Confirme com o time da Sellit a publicação do seu App e a liberação para os lojistas.