Na documentação de Webhooks do Stripe a seguir, é visível que a chave secreta de assinatura do webhook será girada dentro de no máximo 24 horas de duração - https://stripe.com/docs/webhooks#roll-endpoint-secrets
Agora, se estivermos armazenando esse segredo no lado do servidor para verificar as assinaturas do webhook, será problemático atualizar manualmente essa chave no servidor a cada 24 horas.
- Existe alguma maneira de desativar automaticamente a rotação desta chave secreta de assinatura?
- Caso contrário, existe alguma API através da qual possamos buscar essa chave secreta de assinatura no servidor?
- Caso contrário, como podemos lidar com esse cenário em que a chave secreta de assinatura gira a cada 24 horas e se não quisermos atualizá-la manualmente em nosso servidor?
Acho que você está lendo mal a documentação. A chave secreta do webhook não expira, a menos que você queira implementá-la sozinho (por meio do painel). Nesse caso, você pode optar por implementá-lo imediatamente para que possa atualizar o novo valor em seu servidor imediatamente ou atrasar sua expiração em até 24h[1]. No caso de adicionar um atraso, você precisa considerar a verificação usando as chaves muito secretas (nova e antiga)[2] para que você tenha tempo suficiente para implementar os novos valores em seus servidores.
[1] https://stripe.com/docs/webhooks#roll-endpoint-secrets:~:text=You%20can%20choose%20to%20immediately%20expire%20the%20current%20secret%20or%20delay%20its%20expiration %20for%20up%20to%2024%20horas%20to%20permitir%20você mesmo%20tempo%20to%20atualizar%20a%20verificação%20código%20em%20seu%20servidor
[2] https://stripe.com/docs/webhooks#roll-endpoint-secrets:~:text=During%20this%20time%2C%20multiple%20secrets%20are%20active%20for%20the%20endpoint.%20Stripe% 20gera%20one%20signature%20per%20secret%20até%20expiration .