Error code

SHOPIFY_WEBHOOK_INVALID

Shopify webhook HMAC verification failed

  • HTTP status401
  • Classauth
  • Severitycritical
  • Retryableno

Shopify webhook HMAC verification failed

A POST to a Shopify webhook endpoint had a body whose HMAC didn’t match the X-Shopify-Hmac-Sha256 header. The request was rejected before any side effects ran.

Common causes

  • A non-Shopify caller hit the webhook URL directly.
  • Shop secret was rotated but our config still has the old one.
  • Body was modified by an upstream proxy (ALB / WAF).

What to do

Confirm SHOPIFY_APP_API_SECRET matches the value in the Shopify Partner dashboard. Don’t loosen verification — Shopify webhooks are security-critical.

אימות HMAC של וובהוק Shopify נכשל

POST לנקודת קצה של וובהוק Shopify הגיע עם body שה־HMAC שלו לא תאם את הכותרת X-Shopify-Hmac-Sha256. הבקשה נדחתה לפני כל side effect.

סיבות נפוצות

  • גורם שאינו Shopify קרא ל־URL ישירות.
  • שינו את ה־shop secret אך הקונפיג שלנו עדיין מחזיק את הישן.
  • ה־body שונה ע"י proxy בדרך (ALB / WAF).

פעולה מומלצת

ודאו ש־SHOPIFY_APP_API_SECRET תואם לערך ב־Shopify Partner. אין להחליש את האימות — וובהוקי Shopify קריטיים לאבטחה.

Related codes