Homologação e go-live
Antes de colocar seu App em produção, valide o fluxo completo com este checklist.
Checklist de integração
- ✓O fluxo OAuth completa com sucesso (authorize → consent → token).
- ✓Seu App solicita apenas os escopos necessários e trata
403 insufficient_scope. - ✓O access token é renovado via
refresh_tokenantes de expirar (2h). - ✓As chamadas usam valores monetários em reais (não centavos).
- ✓Os webhooks recebidos têm a assinatura validada via HMAC-SHA256.
- ✓Seu endpoint de webhook responde 2xx rapidamente e é idempotente.
- ✓As secrets ficam apenas no backend e são rotacionáveis/revogáveis.
- ✓Erros são lidos do campo
errordo corpo JSON (não apenas do status HTTP). - ✓Respostas
5xxsão tratadas com retry e backoff exponencial. - ✓O endpoint de webhook responde
2xximediatamente e processa em background (para não ser reenviado desnecessariamente). - ✓Eventos de webhook são deduplicados usando o par
event + workspaceId + data.id. - ✓O novo
refresh_tokenrecebido a cada renovação é persistido (o anterior é invalidado imediatamente).
Boas práticas
- Armazene
access_tokenerefresh_tokenpor loja. - Trate
429/5xxcom retry e backoff. - Use
statee PKCE no OAuth para prevenir CSRF e interceptação de code. - Mantenha mais de uma secret ativa durante rotação para evitar downtime.
Pronto para produção? Confirme com o time da Sellit a publicação do seu App e a liberação para os lojistas.