Webhook

Webhook to mechanizm komunikacji między systemami, w którym system zewnętrzny automatycznie wysyła powiadomienie HTTP do Twojej aplikacji, gdy nastąpi określone zdarzenie. W odróżnieniu od tradycyjnego API, gdzie Twoja aplikacja musi aktywnie pytać „czy jest coś nowego?” (polling), webhook działa odwrotnie — to serwis sam mówi Ci „właśnie coś się wydarzyło!”.

Analogia, która tłumaczy to najlepiej: API to dzwonienie do restauracji co 5 minut i pytanie „czy moje zamówienie jest gotowe?”. Webhook to restauracja, która sama dzwoni do Ciebie, gdy jedzenie jest na stole. Mniej obciążenia, szybsza reakcja, zero zmarnowanych zapytań.

Jak działa webhook technicznie?

Proces w czterech krokach:

1. Rejestracja — podajesz systemowi zewnętrznemu URL (endpoint), na który ma wysyłać powiadomienia. Np. mówisz Stripe'owi: „gdy klient zapłaci, wyślij POST na https://mojafirma.pl/webhook/platnosc”.
2. Zdarzenie — klient płaci za zamówienie w Twoim sklepie.
3. Powiadomienie — Stripe natychmiast wysyła żądanie HTTP POST na Twój endpoint z danymi o płatności (kwota, klient, status) w formacie JSON.
4. Przetworzenie — Twoja aplikacja odbiera powiadomienie i wykonuje akcję: oznacza zamówienie jako opłacone, wysyła potwierdzenie klientowi, aktualizuje magazyn.

Cały proces trwa sekundy, nie minuty. To fundamentalna różnica wobec pollingu, który sprawdza źródło co 1-15 minut.

Webhook vs API — kiedy co stosować?

• Webhook (push) — system zewnętrzny sam powiadamia Cię o zdarzeniu. Idealne gdy: chcesz reagować natychmiast (płatności, wiadomości, zamówienia), nie wiesz kiedy zdarzenie nastąpi, chcesz zminimalizować obciążenie (zero zbędnych zapytań).
• API polling (pull) — Twój system regularnie odpytuje źródło. Idealne gdy: system zewnętrzny nie wspiera webhooków, potrzebujesz danych na żądanie (nie w reakcji na zdarzenie), chcesz pełną kontrolę nad częstotliwością.

Reguła: webhook gdy możesz, polling gdy musisz. Webhook jest szybszy, efektywniejszy i nie obciąża API niepotrzebnymi zapytaniami. Ale nie wszystkie systemy go wspierają.

Webhooks w narzędziach no-code

W narzędziach automatyzacji (Make.com, Zapier, n8n) webhook jest jednym z typów wyzwalacza:

• Make.com — moduł „Custom Webhook” tworzy unikalny URL. Podajesz go systemowi zewnętrznemu. Gdy webhook przychodzi — scenariusz się uruchamia natychmiast.
• Zapier — „Webhooks by Zapier” trigger. Catch Hook tworzy URL, na który wysyłasz dane z dowolnego systemu.
• n8n — Webhook Node. Self-hosted, więc Twoje dane nie przechodzą przez serwery trzecich firm.

Webhooks w no-code to potężne narzędzie, bo pozwalają zintegrować dowolny system z Twoim workflow — nawet jeśli nie ma natywnej integracji. Wystarczy, że system potrafi wysłać HTTP POST.

Bezpieczeństwo webhooków

Webhook to otwarty endpoint — każdy, kto zna URL, może wysłać na niego dane. Dlatego bezpieczeństwo jest kluczowe:

• Weryfikacja podpisu — system wysyłający dołącza kryptograficzny podpis (np. HMAC-SHA256). Twoja aplikacja weryfikuje podpis przed przetworzeniem. Zapobiega fałszywym webhookom.
• HTTPS — webhook MUSI być na HTTPS, nigdy na HTTP. Dane są szyfrowane w transmisji.
• Secret token — dodaj sekretny token do URL lub nagłówka. Odrzucaj żądania bez tokena.
• Idempotentność — webhook może zostać wysłany dwukrotnie (retry). Twoja aplikacja musi obsłużyć duplikaty bez podwójnego przetworzenia.

Typowe zastosowania webhooków w biznesie

• Płatności — Stripe/PayU powiadamia o udanej płatności → oznacz zamówienie, wyślij potwierdzenie.
• E-commerce — nowe zamówienie w sklepie → aktualizuj magazyn, powiadom logistykę.
• CRM — nowy lead w formularzu → dodaj do HubSpot, powiadom handlowca na Slacku.
• Git — nowy commit/push → uruchom testy, zbuduj, zadeploy (CI/CD, patrz: Deployment).
• Monitoring — serwer down → powiadom zespół SMS-em natychmiast.