Recevoir des notifications webhook à chaque dépôt dans l'Inbox

Configurez un webhook Coffrify pour être alerté en temps réel à chaque nouveau dépôt dans votre Inbox, et vérifiez la signature HMAC pour sécuriser la réception.

Télécharger en PDF

L'Inbox de Coffrify permet à vos interlocuteurs de déposer des fichiers sans compte. Chaque appel à POST /v1/inbox/submit crée une soumission (status: "received") et peut déclencher un webhook vers votre serveur. Cette page explique comment enregistrer un endpoint, souscrire aux événements request.submitted et request.completed, et valider la signature webhook-signature côté récepteur pour traiter ces notifications en toute confiance.

Endpoints concernés

Trois endpoints interviennent : créer un webhook (POST /v1/webhooks), consulter le catalogue d'événements et déclencher une soumission Inbox qui notifiera vos abonnés.

POST/v1/webhooksCrée un nouvel endpoint webhook et retourne le secret de signature (`whsec_…`).GET/v1/webhooks/event-catalogRetourne le catalogue complet des 74 types d'événements disponibles, groupés par famille.

POST/v1/inbox/submitCrée une soumission dans l'Inbox via token `cit_live_…`. Déclenche les webhooks abonnés aux événements de la famille `request`.

Authentification

La création et la gestion de webhooks nécessitent un scope `webhooks:manage` sur votre clé API (cof_live_… ou cof_test_…). La lecture seule (liste, historique de livraisons) utilise le scope webhooks:read. Le dépôt dans l'Inbox (/v1/inbox/submit) s'authentifie quant à lui avec un token Inbox au format cit_live_…, émis depuis le tableau de bord Coffrify et distinct de votre clé API.

Créer le webhook : corps de la requête

La création d'un webhook déclare l'URL de destination et les événements auxquels s'abonner. Le tableau ci-dessous détaille les champs acceptés.

Champ	Type	Requis	Description
`name`	string	Oui	Libellé interne du webhook (ex. `"Inbox notifications prod"`)
`url`	string	Oui	URL HTTPS de votre endpoint récepteur. Doit passer la validation `new URL(...)`.
`events`	string[]	Non	Liste de types d'événements du catalogue. Par défaut `["transfer.downloaded"]`. Pour l'Inbox, utilisez `["request.submitted", "request.completed"]`.
`description`	string	Non	Description libre, non fonctionnelle.
`is_active`	boolean	Non	Activé ou non. `true` par défaut à la création.

Exemples d'appel

L'exemple ci-dessous crée un webhook abonné aux événements de dépôt Inbox. Choisissez votre langage.

curl -X POST https://api.coffrify.com/v1/webhooks \
  -H "Authorization: Bearer cof_live_VOTRE_CLE" \
  -H "Content-Type: application/json" \
  -d '{
    "name": "Inbox notifications prod",
    "url": "https://votre-serveur.com/webhooks/coffrify",
    "events": ["request.submitted", "request.completed"]
  }'

Réponse à la création

La réponse renvoie l'objet webhook et, surtout, son secret de signature (whsec_…). Ce secret n'apparaît qu'à la création : conservez-le pour vérifier les livraisons.

{
  "id": "wh_01J9ABCDE2FGHIJK3LMNOP4QRS",
  "name": "Inbox notifications prod",
  "description": null,
  "url": "https://votre-serveur.com/webhooks/coffrify",
  "events": ["request.submitted", "request.completed"],
  "is_active": true,
  "signing_version": "v1",
  "retry_policy": null,
  "secret": "whsec_a3f8e2d1c09b7654a3f8e2d1c09b7654a3f8e2d1c09b7654a3f8e2d1c09b7654",
  "created_at": "2026-06-06T10:23:45.000Z"
}

Structure d'un événement livré

Coffrify signe chaque livraison selon le standard Standard Webhooks. Les en-têtes webhook-id, webhook-timestamp et webhook-signature sont toujours présents. L'en-tête X-Coffrify-Signature (format t=<ts>,v1=<hex>) est également envoyé pour compatibilité avec les intégrations antérieures.

{
  "id": "evt_01J9XYZ123456789ABCDEFGHIJ",
  "object": "event",
  "type": "request.submitted",
  "created": 1749204225,
  "data": {
    "submission_id": "sub_01J9XYZ987654321ZYXWVUTSRQ",
    "drop_box_id": "dbox_01J9ABC111222333444555666",
    "workspace_id": "ws_01J8AB12CD34EF56GH78IJ90KL",
    "requester_email": "alice@example.com",
    "requester_name": "Alice Martin",
    "files_count": 3,
    "total_size_bytes": 2097152,
    "status": "received",
    "source": "api",
    "tracking_token": "TRK_abcdefghijklmnopqrstuvwxyz",
    "tracking_expires_at": "2026-07-06T10:23:45.000Z"
  },
  "test": false
}

Erreurs

Les erreurs portent sur une URL invalide, un événement inconnu ou le scope webhooks:manage manquant. Le tableau ci-dessous indique la résolution.

Code HTTP	Code d'erreur	Quand	Résolution
401	`invalid_token`	Clé API absente, malformée ou révoquée.	Vérifiez que votre clé `cof_live_…` ou `cof_test_…` est valide et non révoquée.
403	`scope_missing`	Scope `webhooks:manage` absent de la clé API utilisée.	Recréez la clé API en cochant le scope `webhooks:manage`.
400	`validation_error`	`name` ou `url` manquant, URL invalide, ou type d'événement absent du catalogue.	Consultez `GET /v1/webhooks/event-catalog` pour la liste des types valides.
409	`validation_error`	Limite de 25 webhooks par workspace atteinte.	Supprimez un webhook inactif via `DELETE /v1/webhooks/{id}`.
401	`invalid_token`	Token Inbox (`cit_live_…`) absent ou révoqué lors d'un dépôt via `/v1/inbox/submit`.	Vérifiez le token Inbox dans le tableau de bord, section Inbox > Tokens.
403	`scope_missing`	Token Inbox `read_only` utilisé pour un dépôt.	Recréez le token Inbox avec le scope `read_write`.
410	`box_disabled`	La drop-box cible est désactivée.	Réactivez la drop-box dans le tableau de bord Coffrify.
402	`uploads_blocked`	Le workspace est bloqué pour cause de dépassement de quota.	Passez à un plan supérieur ou libérez du stockage.
500	`internal_error`	Erreur interne de base de données.	Réessayez dans quelques secondes. Si le problème persiste, consultez le status de l'API.

Bonnes pratiques

1. Vérifiez toujours la signature avant de traiter l'événement : comparez webhook-signature (format v1,<base64>) avec le HMAC SHA-256 de "<webhook-id>.<webhook-timestamp>.<corps brut>" signé avec les octets du secret (whsec_<hex> décodé). Ne calculez jamais le HMAC sur le JSON republié depuis votre parser. 2. Répondez 200 immédiatement et traitez la logique métier en arrière-plan : Coffrify attend au maximum 10 secondes avant de considérer la livraison en échec. 3. Gérez les doublons avec l'identifiant id de l'événement : une même livraison peut être retentée jusqu'à retry_policy.max_attempts fois (10 au maximum). 4. Utilisez des environnements distincts : les clés cof_test_… et les webhooks créés en mode test ne déclenchent jamais d'événements live, et inversement. 5. Testez sans dépôt réel avec POST /v1/webhooks/{id}/test : l'en-tête X-Coffrify-Test-Delivery: true vous permet de distinguer les livraisons de test dans votre handler.

Voir aussi

Référence : POST /v1/webhooks
Référence : GET /v1/webhooks/event-catalog
Référence : POST /v1/inbox/submit
Référence : POST /v1/webhooks/{id}/test
Guide : Créer votre premier transfert et envoyer un webhook
Guide : Gérer les demandes de fichiers (Requests)
Guide : Configurer les préférences de notifications

Continuer

Autres tutoriels à suivre

📥Recevoir des fichiers en 5 min (no-code)→🚀Construire un agent qui crée et livre des transferts automatiquement→✅Implémenter un workflow d'approbation de transfert→