קוד שגיאה
SHOPIFY_WEBHOOK_INVALID
אימות HMAC של וובהוק Shopify נכשל
Shopify webhook HMAC verification failed
A POST to a Shopify webhook endpoint had a body whose HMAC didn’t match the X-Shopify-Hmac-Sha256 header. The request was rejected before any side effects ran.
Common causes
- A non-Shopify caller hit the webhook URL directly.
- Shop secret was rotated but our config still has the old one.
- Body was modified by an upstream proxy (ALB / WAF).
What to do
Confirm SHOPIFY_APP_API_SECRET matches the value in the Shopify Partner dashboard. Don’t loosen verification — Shopify webhooks are security-critical.
אימות HMAC של וובהוק Shopify נכשל
POST לנקודת קצה של וובהוק Shopify הגיע עם body שה־HMAC שלו לא תאם את הכותרת X-Shopify-Hmac-Sha256. הבקשה נדחתה לפני כל side effect.
סיבות נפוצות
- גורם שאינו Shopify קרא ל־URL ישירות.
- שינו את ה־shop secret אך הקונפיג שלנו עדיין מחזיק את הישן.
- ה־body שונה ע"י proxy בדרך (ALB / WAF).
פעולה מומלצת
ודאו ש־SHOPIFY_APP_API_SECRET תואם לערך ב־Shopify Partner. אין להחליש את האימות — וובהוקי Shopify קריטיים לאבטחה.