É possível configurar um segredo compartilhado durante a criação de assinaturas de webhooks com o campo segredo-compartilhado. Este mesmo segredo será apresentado durante a entrega de eventos da assinatura correspondente no header HTTP padrão Authorization: Bearer SEGREDO_COMPARTILHADO.
O segredo configurado nunca é exposto novamente pela API de gerenciamento. Caso necessário, basta atualizar a assinatura com um novo segredo.
Nas respostas da API o campo booleano envia-header-de-autorizacao indica se existe ou não um segredo cadastrado em cada assinatura.
Validação do endpoint durante a criação
Note que o endpoint informado durante a criação de assinaturas de webhook é validado no momento de criação. A chamada inicial já vai conter o header com o segredo compartilhado (se informado) e o endpoint, se for protegido, já precisa aceitá-lo.