n8n-flow

Gestionnaire générique de webhooks HubSpot dans n8n

Difficulty

intermédiaire

Setup time

45min

For

revops · gtm-engineer

RevOps

Stack

Un workflow n8n unique qui prend en charge tous les webhooks HubSpot Workflows que votre portail déclenche, vérifie la signature HMAC v3, déduplique contre un registre Postgres, route par type d’événement et acquitte assez rapidement pour que HubSpot ne relance jamais. Un seul gestionnaire, une seule URL, tous les événements qui comptent pour votre équipe — en remplacement du dossier de Zaps ponctuels que personne ne fait confiance et que personne ne maintient.

La pièce maîtresse architecturale n’est pas le routage. C’est le registre de déduplication. HubSpot relance chaque réponse 5xx pendant 24 heures, votre gestionnaire sera inévitablement indisponible à un moment donné, et le même événement arrivera deux ou trois fois. Sans registre indexé sur le eventId de HubSpot, vous doublez les notifications Slack, vous créez en double des enregistrements dans votre système aval et vous corrompez vos métriques pipeline. Avec un registre, la deuxième livraison ne renvoie aucune ligne en insertion et le flux court-circuite vers un acquittement 200 OK. Le bundle disponible dans apps/web/public/artifacts/webhook-handler-hubspot-n8n/webhook-handler-hubspot-n8n.json est construit autour de cette propriété ; tout le reste est du câblage en éventail.

Quand utiliser

Vous avez trois systèmes avals ou plus qui doivent réagir aux événements HubSpot (Slack, votre entrepôt, un service interne, une synchronisation vers Zendesk ou Salesforce), les événements se chevauchent (les changements d’étape de deal créent aussi des tickets, la création de contact déclenche aussi Slack), et vous avez actuellement un Zap ou une action de code personnalisé HubSpot Operations Hub par paire (événement × destination). Cette matrice croît de façon multiplicative et personne ne la refactorise. Un seul gestionnaire avec un nœud Switch et une infrastructure partagée (vérification de signature, déduplication, capture d’erreurs, replay) réduit la matrice à un chemin par type d’événement. Vous voulez aussi ce système lorsque vos systèmes avals ont des limites de débit ou des quotas que vous devez throttler de manière centralisée, car la logique de retry et de mode file d’attente de n8n est le bon endroit pour cette logique — pas dispersée dans dix Zaps.

Quand NE PAS utiliser

Si vous n’avez qu’un seul consommateur aval des événements HubSpot, ignorez complètement n8n et utilisez l’action de code personnalisé de HubSpot Operations Hub — elle s’exécute dans le propre cadre de retry de HubSpot et vous n’avez pas à opérer un récepteur de webhook. Si vous avez des budgets de latence stricts (acquittement sub-100ms requis) et un cas d’usage à volume élevé (>100 événements par seconde en continu), le nœud webhook de n8n fronté par un pool de connexions Postgres unique deviendra un goulot d’étranglement ; optez pour AWS Lambda + API Gateway + DynamoDB à la place, où la table de déduplication est à latence milliseconde et le calcul est par requête. Si votre équipe n’a aucun appétit pour opérer une petite base de données Postgres, ce workflow n’est pas adapté — le registre est non négociable, et « on utilisera les données statiques de n8n » ou un cache en mémoire ne survivra pas à un redémarrage et déclenchera silencieusement des événements en double. Enfin, si votre niveau HubSpot est Marketing Hub Free / Sales Hub Starter, vous n’avez pas du tout de webhooks Workflows ; le prérequis est Operations Hub Professional ou Enterprise.

Configuration

Provisionnez une instance Postgres (ou utilisez une existante). Exécutez les deux instructions CREATE TABLE depuis apps/web/public/artifacts/webhook-handler-hubspot-n8n/_README.md — hubspot_event_ledger est la table de déduplication ; hubspot_unhandled_events parque les événements dont le type d’abonnement n’est pas encore géré par votre Switch.
Dans votre compte développeur HubSpot, trouvez ou créez l’application dont le secret client va signer les webhooks sortants. Le secret client est la clé HMAC — la signature des webhooks Workflows l’utilise directement. Notez la valeur une seule fois ; HubSpot ne la montrera plus.
Sur l’instance n8n, définissez deux variables d’environnement : HUBSPOT_CLIENT_SECRET (la valeur de l’étape 2) et N8N_WEBHOOK_PUBLIC_BASE_URL (l’origine publique de votre installation n8n, par exemple https://n8n.example.com — sans slash final). Le nœud Code reconstruit la chaîne de signature contre cette origine exacte, donc une incompatibilité casse chaque signature.
Importez apps/web/public/artifacts/webhook-handler-hubspot-n8n/webhook-handler-hubspot-n8n.json via Workflows → Importer depuis un fichier. Liez les credentials aux deux espaces réservés : Postgres — hubspot-ledger (un credential Postgres pointant vers la base de données de l’étape 1) et Slack — bot token (un credential httpHeaderAuth avec Authorization: Bearer xoxb-...).
Activez le workflow. Copiez l’URL de webhook de production depuis le nœud Webhook et enregistrez-la sur la page des abonnements aux webhooks de l’application HubSpot. Abonnez-vous aux types d’événements spécifiques que vous routez (deal.propertyChange, contact.creation, ticket.propertyChange sont les branches incluses ; ajoutez ou supprimez pour correspondre à votre portail).
Exécutez les quatre cas de vérification depuis le _README.md du bundle (chemin heureux valide, rejet de signature invalide, saut d’event-id en doublon, fallback de type d’abonnement inconnu) avant que tout workflow HubSpot de production ne pointe vers l’URL.

Ce que fait le flux

Le nœud Webhook accepte POST /webhook/hubspot/events avec rawBody: true. Les octets bruts sont obligatoires car la signature v3 de HubSpot est calculée sur le corps exact de la requête — l’analyse JSON par défaut de n8n re-sérialiserait le payload et toute différence de whitespace invaliderait la signature.

Vérification HMAC + Analyse est un nœud Code qui fait quatre choses dans l’ordre : rejette les requêtes où l’en-tête de timestamp est décalé de plus de 5 minutes par rapport à l’heure murale (c’est la fenêtre de replay), reconstruit la chaîne de signature POST + URI + RAW_BODY + TIMESTAMP, calcule HMAC-SHA256(client_secret, signing_string) et l’encode en base64, puis compare le résultat à x-hubspot-signature-v3 en temps constant via crypto.timingSafeEqual. En cas d’échec, il émet un seul élément marqué __valid: false avec une chaîne de raison ; en cas de succès, il analyse le corps et émet un élément par événement dans le batch de HubSpot (HubSpot groupe jusqu’à 100 événements par livraison).

Insertion dans le registre de déduplication est la clé de voûte de l’idempotence. Chaque événement déclenche INSERT INTO hubspot_event_ledger (...) VALUES (...) ON CONFLICT (event_id) DO NOTHING RETURNING event_id. Un événement pour la première fois renvoie son event_id et continue. Un doublon (retry HubSpot, attaque de replay qui a quand même passé la signature, ou votre propre mauvaise importation du workflow) renvoie zéro ligne. Si Nouvel Événement vérifie ce résultat vide et court-circuite vers Répondre 200 OK sans re-déclencher la branche aval.

Switch — Type d'événement indexe sur subscriptionType. Les branches incluses sont illustratives — deal.propertyChange envoie un message Slack, contact.creation fait un POST vers une API interne, ticket.propertyChange se synchronise vers une URL Zendesk de remplacement. Remplacez-les par vos vraies destinations. La sortie de repli écrit dans hubspot_unhandled_events afin qu’un changement de schéma côté HubSpot (nouveau type d’événement ajouté à un abonnement, nouvelle propriété ajoutée à un payload d’événement) parque l’événement pour examen humain plutôt que de faire échouer l’ensemble du flux.

Répondre 200 OK est le nœud Respond-to-Webhook explicite — responseMode: "responseNode" sur le nœud Webhook signifie que nous contrôlons exactement quand l’acquittement est renvoyé. Nous acquittons après que l’insertion dans le registre a réussi, pas après que la branche aval a terminé. Ce compromis est délibéré : HubSpot considère l’événement livré dès que le registre le détient, et tout échec de branche est récupéré hors bande par le sous-flux Error Trigger qui publie dans #alerts-revops plus vos propres outils de replay lisant depuis hubspot_event_ledger. L’alternative (acquitter seulement après la complétion de la branche) signifie qu’une API aval lente bloque la file d’attente de HubSpot et déclenche des relances que vous devez ensuite dédupliquer de toute façon.

Réalité des coûts

n8n auto-hébergé sur une petite VM unique (2 vCPU / 4 Go, ~$20-30/mois sur Hetzner / DigitalOcean) gère des dizaines de milliers d’événements par jour depuis un portail HubSpot sans peine. Le niveau Starter de n8n Cloud est $24/mois pour 2 500 exécutions et devient rapidement coûteux à ce volume — si vous prévoyez plus de ~10k livraisons de webhooks par mois, l’auto-hébergement est significativement moins cher. Ajoutez un petit Postgres géré ($15-25/mois sur Supabase, RDS ou Neon) pour le registre.

La taille d’une ligne du registre de déduplication est d’environ 2 à 4 Ko selon la taille du payload brut (les payloads HubSpot sont petits — typiquement ~500 octets, JSONB compresse bien). À 30k événements/mois avec une rétention de 30 jours, la table reste sous 100 Mo. À 1M d’événements/mois avec une rétention de 30 jours, vous êtes à environ 3 à 4 Go — toujours trivial pour tout Postgres géré. Le job de purge (un DELETE par jour, indexé sur received_at) ne coûte rien de mesurable.

Le coût caché concerne les quotas des API aval. Un événement de dérive de schéma qui inonde le fallback de votre switch peut être une surprise ; un workflow HubSpot mal configuré qui déclenche 10 000 événements en une heure épuisera n’importe quelle limite de débit Slack et la plupart des quotas d’API internes en quelques minutes. Budgétez les deux : des plafonds de retry par branche (le bundle est livré avec tryCount: 5, waitBetweenTries: 1000-2000ms) et une mentalité de coupe-circuit où vos API aval renvoient proprement des 429s à n8n afin que l’événement reste dans la file d’attente plutôt que d’être perdu.

Indicateur de succès

Latence de bout en bout de la déclenchement HubSpot à l’effet secondaire aval sous 2 secondes au p95, mesurée en comparant occurred_at (le timestamp HubSpot sur l’événement) au timestamp de création/mise à jour de votre système aval. Une deuxième métrique : zéro double-déclenchement par trimestre, mesuré comme count(*) GROUP BY event_id HAVING count(*) > 1 contre le journal d’audit de votre système aval. Si vous atteignez les deux, le gestionnaire fait son travail et vous pouvez cesser de le surveiller.

Comparaison avec les alternatives

vs HubSpot Operations Hub custom code : les actions de code personnalisé de HubSpot s’exécutent dans le propre cadre de retry de HubSpot sans infrastructure à opérer, ce qui est un vrai avantage quand vous avez une ou deux destinations simples. Elles deviennent pénibles à trois destinations ou plus car chaque Workflow a sa propre copie du code de signature/déduplication/routage, et vous ne pouvez pas partager l’infrastructure (pas de registre Postgres partagé, pas de rotation de credential Slack partagé, pas de gestion centralisée des erreurs). Le seuil de rentabilité est d’environ 3 destinations ou tout besoin de corrélation inter-événements. Commencez avec le code personnalisé HubSpot ; migrez vers ce gestionnaire n8n quand vous en avez dépassé les limites.

vs AWS Lambda + API Gateway + DynamoDB : c’est l’architecture plus évolutive (les écritures conditionnelles DynamoDB sont une idempotence à latence milliseconde, Lambda se met à l’échelle horizontalement automatiquement, API Gateway vous donne du throttling par route gratuitement) mais cela vous coûte un pipeline de déploiement, de l’IaC, une stack d’observabilité et une équipe capable de déboguer les cold starts Lambda. Pour une équipe revops gérant 10 à 100k événements/mois, n8n est plus simple à opérer, plus facile à modifier (Switch + nœuds de branche vs code + redéploiement), et le registre vit dans le même Postgres que vos autres automations ops probablement utilisées. Choisissez Lambda quand vous dépassez 100 événements/seconde en continu ou quand la latence doit être à un chiffre en millisecondes.

vs le statu quo Zap-par-événement : c’est l’alternative que tout le monde remplace réellement. Les Zaps déclenchent en double en cas de retry (la déduplication de Zapier est au mieux approximative et non contrôlable par l’utilisateur), n’ont pas de vérification de signature partagée (n’importe qui avec une URL de webhook Zap peut déclencher de faux événements), et deviennent impossibles à refactoriser quand il y en a vingt. L’argument en faveur de ce workflow n8n est le même que pour toute infrastructure centralisée : un seul endroit pour corriger le bug, un seul endroit pour faire tourner le secret, un seul endroit pour lire le journal d’audit.

Points de vigilance

Incompatibilités de signature HMAC qui passent en local et échouent en production. La chaîne de signature inclut l’URI, et l’URI doit correspondre exactement à ce que HubSpot a POSTé. Définissez N8N_WEBHOOK_PUBLIC_BASE_URL précisément (pas de slash final, bon schéma, bon port) — l’échec de production le plus courant est un Cloudflare/load-balancer devant n8n qui change l’URL que HubSpot voit vs l’URL que n8n pense avoir. Protection : journalisez la chaîne de signature reconstruite au niveau debug et comparez-la avec le journal de requêtes de HubSpot quand la première signature échoue ; n’activez jamais ce journal en production au-delà du débogage.
Attaques de replay dans la fenêtre de 5 minutes. La vérification de signature est nécessaire mais pas suffisante — une requête signée capturée peut être rejouée dans la fenêtre de timestamp. Protection : la PRIMARY KEY event_id du registre de déduplication rend cela sans effet (un replay renvoie zéro ligne en insertion et court-circuite vers l’acquittement), mais seulement si event_id est réellement un identifiant stable et unique par événement. Vérifiez avec le cas de test d’événement en doublon dans le README avant de passer en production.
Épuisement du quota d’API aval sous rafale. Un workflow HubSpot mal configuré peut déclencher des milliers d’événements par minute. Le chat.postMessage de Slack autorise environ 1 message par seconde par canal ; beaucoup d’API internes ont des quotas de 100 req/min par token. Protection : des plafonds de retry par branche dans le workflow (tryCount: 5, waitBetweenTries) plus le mode file d’attente n8n afin que les événements s’accumulent dans la file plutôt que d’échouer rapidement et d’être perdus. Pour les branches à volume vraiment élevé, remplacez le nœud HTTP direct par une écriture dans une file SQS/Redis et laissez un consommateur séparé drainer à une vitesse respectant le quota.
Dérive de schéma côté HubSpot. HubSpot ajoute des champs aux payloads d’événements et introduit parfois de nouveaux types d’abonnements. Protection : la sortie de repli du nœud Switch parque les types inconnus dans hubspot_unhandled_events plutôt que d’errorer ; les branches aval lisent propertyName/propertyValue de manière défensive plutôt qu’en assertant sur la forme.
Worker n8n qui plante en cours d’exécution. Si le worker meurt après l’insertion dans le registre mais avant Répondre 200 OK, HubSpot relance car il n’a jamais reçu d’acquittement, la deuxième livraison frappe la contrainte du registre et renvoie zéro lignes, et la branche aval ne se re-déclenche jamais. Protection : activez saveExecutionProgress: true (déjà défini dans le bundle) et traitez le registre comme source de vérité — les outils de replay lisent hubspot_event_ledger et re-exécutent les branches contre les payloads d’événements parqués, pas contre l’API HubSpot.

Stack

HubSpot Workflows — source d’événements. Operations Hub Professional ou Enterprise requis pour l’action webhook.
n8n (auto-hébergé recommandé) — récepteur de webhook, vérificateur de signature, routeur, ventilateur. Mode file d’attente fortement recommandé en production.
Postgres — registre de déduplication et parking des événements non gérés. Tout Postgres géré fonctionne (Supabase, Neon, RDS, Cloud SQL).
Slack — alertes de défaillance et exemple de branche de changement d’étape de deal. Token bot avec chat:write.
Systèmes avals — vos API internes, Salesforce, Zendesk, entrepôt, vers lesquels les événements se propagent.

Modifier cette page sur GitHub

Files in this artifact

Download all (.zip)

# HubSpot webhook handler (n8n)

A single n8n workflow that receives every HubSpot Workflows webhook your portal fires, verifies the HMAC v3 signature against your app's client secret, deduplicates against a Postgres ledger keyed on HubSpot's `eventId`, routes by `subscriptionType`, and acknowledges with a fast `200` so HubSpot stops retrying.

Bundle layout:

```
webhook-handler-hubspot-n8n/
├── webhook-handler-hubspot-n8n.json # n8n workflow export
└── _README.md # this file
```

## What this flow does

The Webhook node accepts `POST /webhook/hubspot/events` with `rawBody` capture enabled — HubSpot Signature v3 signs the exact request bytes, so any re-serialization of the JSON body breaks the comparison.

`Verify HMAC + Parse` is a Code node that reconstructs HubSpot's signing string (`METHOD + URI + RAW_BODY + TIMESTAMP`), HMAC-SHA256s it with your app's client secret from `$env.HUBSPOT_CLIENT_SECRET`, and compares to the `x-hubspot-signature-v3` header in constant time. Requests with stale timestamps (older than 5 minutes) are rejected before any signature math runs, which kills replay attacks. On success it parses the body and emits one item per event in the batch.

`Dedupe Ledger Insert` writes each event's `eventId` into `hubspot_event_ledger` with `INSERT ... ON CONFLICT (event_id) DO NOTHING RETURNING event_id`. A duplicate delivery (HubSpot retries every 5xx for 24 hours, and your handler will have downtime) returns zero rows. `If New Event` then short-circuits the duplicate path straight to a `200 OK` ack — the downstream side effect already ran the first time.

`Switch — Event Type` fans out to one branch per `subscriptionType`. The bundle ships three concrete branches (`deal.propertyChange` → Slack, `contact.creation` → internal API, `ticket.propertyChange` → sync) plus a fallback that parks unknown types in `hubspot_unhandled_events` instead of crashing. Replace the example URLs with your own.

`Respond 200 OK` is a Respond-to-Webhook node — the handler always acks after the ledger insert succeeds, so HubSpot considers the event delivered even if a downstream branch fails. The Error Trigger sub-flow catches branch failures and posts to Slack so you replay them out-of-band, not by stalling HubSpot's queue.

## Import

1. In n8n, open **Workflows** → **Import from File** and select `webhook-handler-hubspot-n8n.json`.
2. Open the workflow's **Settings**. Confirm `Timezone` is set (default `America/New_York` — change to match your business calendar) and `Save execution progress` is on (the partial state is what you replay against on a retry).
3. On the n8n instance, set two environment variables and restart the worker:
- `HUBSPOT_CLIENT_SECRET` — your HubSpot app's client secret (used as the HMAC key).
- `N8N_WEBHOOK_PUBLIC_BASE_URL` — the public origin of the n8n webhook URL, e.g. `https://n8n.example.com`. The signing string is reconstructed against this exact origin; if it differs, every signature fails.
4. Bind credentials to the placeholder IDs (next section), then activate the workflow.
5. In your HubSpot app's webhook settings, register the production URL n8n shows for the Webhook node and subscribe to the event types you actually route on.

## Credentials

### Postgres — hubspot-ledger

Used by `Dedupe Ledger Insert` and `Branch — Unknown Type → Park`.

Required schema (run once before activation):

```sql
CREATE TABLE IF NOT EXISTS hubspot_event_ledger (
event_id TEXT PRIMARY KEY,
subscription_type TEXT NOT NULL,
object_id BIGINT,
portal_id BIGINT,
occurred_at TIMESTAMPTZ,
raw_payload JSONB NOT NULL,
received_at TIMESTAMPTZ NOT NULL DEFAULT now()
);

CREATE INDEX IF NOT EXISTS hubspot_event_ledger_received_at_idx
ON hubspot_event_ledger (received_at);

CREATE TABLE IF NOT EXISTS hubspot_unhandled_events (
event_id TEXT PRIMARY KEY,
subscription_type TEXT NOT NULL,
raw_payload JSONB NOT NULL,
received_at TIMESTAMPTZ NOT NULL DEFAULT now()
);
```

The `event_id` PRIMARY KEY is the idempotency contract — the entire flow's correctness depends on it being a real unique constraint, not just an index. Plan to prune rows older than your replay window (HubSpot's is 24 hours; we recommend retaining 30 days for audit). A daily `DELETE FROM hubspot_event_ledger WHERE received_at < now() - interval '30 days'` keeps the table well under a gigabyte for typical mid-market portal volume.

### Slack — bot token

Used by `Branch — Deal Stage → Slack` and `Slack — Failure Alert`.

n8n credential type `httpHeaderAuth`. Header name `Authorization`, header value `Bearer xoxb-...`. The token needs `chat:write` and the bot must be invited to the channels named in the JSON bodies (`#revops-pipeline` and `#alerts-revops` by default — rename to your channels).

## First-run verification

The flow's correctness rests on three behaviors. Verify each one before pointing real HubSpot traffic at it.

### 1. Valid signature happy-path

Use HubSpot's built-in **Test** button on the webhook action in your Workflows UI — it sends a real signed payload from HubSpot's edge, which is the only way to exercise the v3 signing path end-to-end (a curl from your laptop won't have the right signing key).

Expected: `200 OK` response, one new row in `hubspot_event_ledger` with the test event's `eventId`, and one message in `#revops-pipeline` (or whichever branch matches the test event type).

### 2. Invalid signature reject

From a shell:

```bash
curl -i -X POST https://n8n.example.com/webhook/hubspot/events \
-H 'content-type: application/json' \
-H 'x-hubspot-signature-v3: AAAAinvalidsignature==' \
-H "x-hubspot-request-timestamp: $(date +%s000)" \
-d '{"eventId":"test-1","subscriptionType":"deal.propertyChange","objectId":1,"portalId":1,"occurredAt":1000}'
```

Expected: `401` with `{"ok":false,"reason":"hmac-mismatch"}`. No row in `hubspot_event_ledger`. No Slack message. If you get a `200`, your signing string reconstruction is wrong — most commonly because `N8N_WEBHOOK_PUBLIC_BASE_URL` doesn't match the URL HubSpot is actually POSTing to (check for `http` vs `https`, trailing slashes, port differences).

### 3. Duplicate event-id skip

Send the same valid signed payload twice (re-trigger the HubSpot test, or replay a captured request through a tool that preserves headers and body bytes exactly).

Expected: both responses are `200 OK`, but `hubspot_event_ledger` shows exactly one row, and the downstream branch (Slack message, internal API call, etc.) fired exactly once. If the side effect ran twice, the ledger insert is not actually constraining on `event_id` — verify the PRIMARY KEY exists and that the Code node is emitting a stable `eventId` value (HubSpot uses the field literally named `eventId` on each event in the array).

### 4. Schema drift fallback

Construct a payload with `subscriptionType: "company.propertyChange"` (or any type your switch doesn't handle) and send it through the HubSpot test path. Expected: `200 OK`, one row in `hubspot_unhandled_events`, no error in the execution log. The flow should never crash on an unknown event type — if it does, the Switch node's fallback wiring is broken.

{
  "name": "HubSpot webhook handler",
  "nodes": [
    {
      "parameters": {
        "httpMethod": "POST",
        "path": "hubspot/events",
        "responseMode": "responseNode",
        "responseCode": 200,
        "options": {
          "rawBody": true,
          "responseHeaders": {
            "entries": [
              { "name": "content-type", "value": "application/json" }
            ]
          }
        }
      },
      "id": "2d2d2d2d-0001-0000-0000-000000000001",
      "name": "Webhook — HubSpot Inbound",
      "type": "n8n-nodes-base.webhook",
      "typeVersion": 2,
      "position": [240, 360],
      "webhookId": "hubspot-events-prod",
      "notesInFlow": true,
      "notes": "POST /hubspot/events. responseMode=responseNode so we ack only after dedupe ledger insert succeeds. rawBody=true is REQUIRED — HMAC v3 signs the exact bytes HubSpot sent, not a re-serialized JSON."
    },
    {
      "parameters": {
        "jsCode": "// HubSpot Signature v3 verification.\n// Reference: https://developers.hubspot.com/docs/api/webhooks/validating-requests\n//\n// v3 signs: METHOD + URI + RAW_BODY + TIMESTAMP\n// Algo: HMAC-SHA256, key = app client secret, output = base64\n// Reject if timestamp is older than 5 minutes (replay window).\n\nconst crypto = require('crypto');\n\nconst clientSecret = $env.HUBSPOT_CLIENT_SECRET;\nif (!clientSecret) {\n  throw new Error('HUBSPOT_CLIENT_SECRET env var not set on the n8n instance');\n}\n\nconst headers = $json.headers || {};\nconst sig = headers['x-hubspot-signature-v3'];\nconst tsHeader = headers['x-hubspot-request-timestamp'];\nconst rawBody = $json.body && typeof $json.body === 'string'\n  ? $json.body\n  : JSON.stringify($json.body || {});\n\nif (!sig || !tsHeader) {\n  return [{ json: { __valid: false, __reason: 'missing-signature-headers', __status: 401 } }];\n}\n\nconst tsMs = Number(tsHeader);\nif (!Number.isFinite(tsMs) || Math.abs(Date.now() - tsMs) > 5 * 60 * 1000) {\n  return [{ json: { __valid: false, __reason: 'timestamp-out-of-window', __status: 401 } }];\n}\n\n// HubSpot Workflows webhooks POST to a fixed path; reconstruct full URL exactly as HubSpot saw it.\nconst publicBaseUrl = $env.N8N_WEBHOOK_PUBLIC_BASE_URL; // e.g. https://n8n.example.com\nconst path = '/webhook/hubspot/events';\nconst uri = `${publicBaseUrl}${path}`;\nconst payload = `POST${uri}${rawBody}${tsHeader}`;\n\nconst expected = crypto\n  .createHmac('sha256', clientSecret)\n  .update(payload, 'utf8')\n  .digest('base64');\n\n// Constant-time compare.\nconst a = Buffer.from(sig);\nconst b = Buffer.from(expected);\nconst valid = a.length === b.length && crypto.timingSafeEqual(a, b);\n\nif (!valid) {\n  return [{ json: { __valid: false, __reason: 'hmac-mismatch', __status: 401 } }];\n}\n\n// Parse the body now that the signature is verified.\nlet parsed;\ntry {\n  parsed = JSON.parse(rawBody);\n} catch (e) {\n  return [{ json: { __valid: false, __reason: 'invalid-json', __status: 400 } }];\n}\n\n// HubSpot batches events; emit one item per event so downstream can route per-event.\nconst events = Array.isArray(parsed) ? parsed : [parsed];\nreturn events.map(ev => ({\n  json: {\n    __valid: true,\n    eventId: String(ev.eventId ?? ev.subscriptionId ?? ''),\n    subscriptionType: ev.subscriptionType,\n    objectId: ev.objectId,\n    portalId: ev.portalId,\n    occurredAt: ev.occurredAt,\n    propertyName: ev.propertyName,\n    propertyValue: ev.propertyValue,\n    changeSource: ev.changeSource,\n    raw: ev,\n  }\n}));\n"
      },
      "id": "2d2d2d2d-0001-0000-0000-000000000002",
      "name": "Verify HMAC + Parse",
      "type": "n8n-nodes-base.code",
      "typeVersion": 2,
      "position": [460, 360],
      "notesInFlow": true,
      "notes": "HubSpot Signature v3. Constant-time compare. Rejects timestamps >5min old. rawBody must be the exact bytes HubSpot sent — set rawBody=true on the Webhook node."
    },
    {
      "parameters": {
        "conditions": {
          "options": {
            "caseSensitive": true,
            "typeValidation": "strict"
          },
          "conditions": [
            {
              "id": "valid-only",
              "leftValue": "={{ $json.__valid }}",
              "rightValue": true,
              "operator": { "type": "boolean", "operation": "equal" }
            }
          ],
          "combinator": "and"
        },
        "options": {}
      },
      "id": "2d2d2d2d-0001-0000-0000-000000000003",
      "name": "If Signature Valid",
      "type": "n8n-nodes-base.if",
      "typeVersion": 2.2,
      "position": [680, 360]
    },
    {
      "parameters": {
        "operation": "executeQuery",
        "query": "INSERT INTO hubspot_event_ledger (event_id, subscription_type, object_id, portal_id, occurred_at, raw_payload, received_at)\nVALUES ($1, $2, $3, $4, to_timestamp($5 / 1000.0), $6::jsonb, now())\nON CONFLICT (event_id) DO NOTHING\nRETURNING event_id;",
        "options": {
          "queryReplacement": "={{ $json.eventId }},{{ $json.subscriptionType }},{{ $json.objectId }},{{ $json.portalId }},{{ $json.occurredAt }},{{ JSON.stringify($json.raw) }}"
        }
      },
      "id": "2d2d2d2d-0001-0000-0000-000000000004",
      "name": "Dedupe Ledger Insert",
      "type": "n8n-nodes-base.postgres",
      "typeVersion": 2.4,
      "position": [900, 280],
      "credentials": {
        "postgres": {
          "id": "PLACEHOLDER_POSTGRES_CRED_ID",
          "name": "Postgres — hubspot-ledger"
        }
      },
      "notesInFlow": true,
      "notes": "Idempotency keystone. UNIQUE INDEX on event_id + ON CONFLICT DO NOTHING means duplicate deliveries return zero rows and skip the rest of the branch."
    },
    {
      "parameters": {
        "conditions": {
          "options": { "typeValidation": "strict" },
          "conditions": [
            {
              "id": "first-time-only",
              "leftValue": "={{ $json.event_id }}",
              "rightValue": "",
              "operator": { "type": "string", "operation": "exists" }
            }
          ],
          "combinator": "and"
        },
        "options": {}
      },
      "id": "2d2d2d2d-0001-0000-0000-000000000005",
      "name": "If New Event",
      "type": "n8n-nodes-base.if",
      "typeVersion": 2.2,
      "position": [1120, 280],
      "notesInFlow": true,
      "notes": "Empty result from INSERT means duplicate — short-circuit to OK ack."
    },
    {
      "parameters": {
        "rules": {
          "values": [
            { "conditions": { "options": { "typeValidation": "strict" }, "conditions": [{ "id": "r1", "leftValue": "={{ $('Verify HMAC + Parse').item.json.subscriptionType }}", "rightValue": "deal.propertyChange", "operator": { "type": "string", "operation": "equals" } }], "combinator": "and" }, "outputKey": "deal-stage" },
            { "conditions": { "options": { "typeValidation": "strict" }, "conditions": [{ "id": "r2", "leftValue": "={{ $('Verify HMAC + Parse').item.json.subscriptionType }}", "rightValue": "contact.creation", "operator": { "type": "string", "operation": "equals" } }], "combinator": "and" }, "outputKey": "contact-created" },
            { "conditions": { "options": { "typeValidation": "strict" }, "conditions": [{ "id": "r3", "leftValue": "={{ $('Verify HMAC + Parse').item.json.subscriptionType }}", "rightValue": "ticket.propertyChange", "operator": { "type": "string", "operation": "equals" } }], "combinator": "and" }, "outputKey": "ticket-update" }
          ]
        },
        "options": { "fallbackOutput": "extra" }
      },
      "id": "2d2d2d2d-0001-0000-0000-000000000006",
      "name": "Switch — Event Type",
      "type": "n8n-nodes-base.switch",
      "typeVersion": 3.2,
      "position": [1340, 280]
    },
    {
      "parameters": {
        "method": "POST",
        "url": "=https://slack.com/api/chat.postMessage",
        "authentication": "predefinedCredentialType",
        "nodeCredentialType": "httpHeaderAuth",
        "sendHeaders": true,
        "headerParameters": {
          "parameters": [
            { "name": "content-type", "value": "application/json" }
          ]
        },
        "sendBody": true,
        "specifyBody": "json",
        "jsonBody": "={\n  \"channel\": \"#revops-pipeline\",\n  \"text\": \"Deal stage change: {{ $('Verify HMAC + Parse').item.json.objectId }} → {{ $('Verify HMAC + Parse').item.json.propertyValue }}\"\n}",
        "options": {
          "retry": { "tryCount": 5, "waitBetweenTries": 1000 }
        }
      },
      "id": "2d2d2d2d-0001-0000-0000-000000000007",
      "name": "Branch — Deal Stage → Slack",
      "type": "n8n-nodes-base.httpRequest",
      "typeVersion": 4.2,
      "position": [1560, 160],
      "credentials": {
        "httpHeaderAuth": {
          "id": "PLACEHOLDER_SLACK_CRED_ID",
          "name": "Slack — bot token"
        }
      }
    },
    {
      "parameters": {
        "method": "POST",
        "url": "=https://hooks.example-internal.com/contacts/created",
        "sendHeaders": true,
        "headerParameters": {
          "parameters": [
            { "name": "content-type", "value": "application/json" }
          ]
        },
        "sendBody": true,
        "specifyBody": "json",
        "jsonBody": "={\n  \"hubspot_event_id\": \"{{ $('Verify HMAC + Parse').item.json.eventId }}\",\n  \"contact_id\": {{ $('Verify HMAC + Parse').item.json.objectId }},\n  \"portal_id\": {{ $('Verify HMAC + Parse').item.json.portalId }},\n  \"occurred_at\": {{ $('Verify HMAC + Parse').item.json.occurredAt }}\n}",
        "options": {
          "retry": { "tryCount": 5, "waitBetweenTries": 2000 }
        }
      },
      "id": "2d2d2d2d-0001-0000-0000-000000000008",
      "name": "Branch — Contact Created → Internal API",
      "type": "n8n-nodes-base.httpRequest",
      "typeVersion": 4.2,
      "position": [1560, 280]
    },
    {
      "parameters": {
        "method": "POST",
        "url": "=https://api.example-zendesk.com/v2/tickets/sync",
        "sendHeaders": true,
        "headerParameters": {
          "parameters": [
            { "name": "content-type", "value": "application/json" }
          ]
        },
        "sendBody": true,
        "specifyBody": "json",
        "jsonBody": "={\n  \"hubspot_event_id\": \"{{ $('Verify HMAC + Parse').item.json.eventId }}\",\n  \"ticket_id\": {{ $('Verify HMAC + Parse').item.json.objectId }},\n  \"property\": \"{{ $('Verify HMAC + Parse').item.json.propertyName }}\",\n  \"value\": \"{{ $('Verify HMAC + Parse').item.json.propertyValue }}\"\n}",
        "options": {
          "retry": { "tryCount": 5, "waitBetweenTries": 2000 }
        }
      },
      "id": "2d2d2d2d-0001-0000-0000-000000000009",
      "name": "Branch — Ticket Update → Sync",
      "type": "n8n-nodes-base.httpRequest",
      "typeVersion": 4.2,
      "position": [1560, 400]
    },
    {
      "parameters": {
        "operation": "executeQuery",
        "query": "INSERT INTO hubspot_unhandled_events (event_id, subscription_type, raw_payload, received_at)\nVALUES ($1, $2, $3::jsonb, now())\nON CONFLICT (event_id) DO NOTHING;",
        "options": {
          "queryReplacement": "={{ $('Verify HMAC + Parse').item.json.eventId }},{{ $('Verify HMAC + Parse').item.json.subscriptionType }},{{ JSON.stringify($('Verify HMAC + Parse').item.json.raw) }}"
        }
      },
      "id": "2d2d2d2d-0001-0000-0000-00000000000a",
      "name": "Branch — Unknown Type → Park",
      "type": "n8n-nodes-base.postgres",
      "typeVersion": 2.4,
      "position": [1560, 520],
      "credentials": {
        "postgres": {
          "id": "PLACEHOLDER_POSTGRES_CRED_ID",
          "name": "Postgres — hubspot-ledger"
        }
      },
      "notesInFlow": true,
      "notes": "Schema-drift guard: park unknown subscription types in a separate table for human review instead of crashing."
    },
    {
      "parameters": {
        "respondWith": "json",
        "responseBody": "={\n  \"ok\": true,\n  \"eventId\": \"{{ $('Verify HMAC + Parse').item.json.eventId }}\"\n}",
        "options": {
          "responseCode": 200
        }
      },
      "id": "2d2d2d2d-0001-0000-0000-00000000000b",
      "name": "Respond 200 OK",
      "type": "n8n-nodes-base.respondToWebhook",
      "typeVersion": 1.1,
      "position": [1780, 360]
    },
    {
      "parameters": {
        "respondWith": "json",
        "responseBody": "={\n  \"ok\": false,\n  \"reason\": \"{{ $json.__reason }}\"\n}",
        "options": {
          "responseCode": "={{ $json.__status || 401 }}"
        }
      },
      "id": "2d2d2d2d-0001-0000-0000-00000000000c",
      "name": "Respond 401 Reject",
      "type": "n8n-nodes-base.respondToWebhook",
      "typeVersion": 1.1,
      "position": [900, 480]
    },
    {
      "parameters": {},
      "id": "2d2d2d2d-0001-0000-0000-00000000000d",
      "name": "On Error",
      "type": "n8n-nodes-base.errorTrigger",
      "typeVersion": 1,
      "position": [240, 760]
    },
    {
      "parameters": {
        "method": "POST",
        "url": "=https://slack.com/api/chat.postMessage",
        "authentication": "predefinedCredentialType",
        "nodeCredentialType": "httpHeaderAuth",
        "sendHeaders": true,
        "headerParameters": {
          "parameters": [
            { "name": "content-type", "value": "application/json" }
          ]
        },
        "sendBody": true,
        "specifyBody": "json",
        "jsonBody": "={\n  \"channel\": \"#alerts-revops\",\n  \"text\": \":rotating_light: HubSpot webhook handler failure\\n*workflow*: {{ $json.workflow.name }}\\n*node*: {{ $json.execution.lastNodeExecuted }}\\n*error*: {{ $json.execution.error.message }}\\n*executionId*: {{ $json.execution.id }}\"\n}",
        "options": {}
      },
      "id": "2d2d2d2d-0001-0000-0000-00000000000e",
      "name": "Slack — Failure Alert",
      "type": "n8n-nodes-base.httpRequest",
      "typeVersion": 4.2,
      "position": [460, 760],
      "credentials": {
        "httpHeaderAuth": {
          "id": "PLACEHOLDER_SLACK_CRED_ID",
          "name": "Slack — bot token"
        }
      }
    }
  ],
  "connections": {
    "Webhook — HubSpot Inbound": {
      "main": [
        [{ "node": "Verify HMAC + Parse", "type": "main", "index": 0 }]
      ]
    },
    "Verify HMAC + Parse": {
      "main": [
        [{ "node": "If Signature Valid", "type": "main", "index": 0 }]
      ]
    },
    "If Signature Valid": {
      "main": [
        [{ "node": "Dedupe Ledger Insert", "type": "main", "index": 0 }],
        [{ "node": "Respond 401 Reject", "type": "main", "index": 0 }]
      ]
    },
    "Dedupe Ledger Insert": {
      "main": [
        [{ "node": "If New Event", "type": "main", "index": 0 }]
      ]
    },
    "If New Event": {
      "main": [
        [{ "node": "Switch — Event Type", "type": "main", "index": 0 }],
        [{ "node": "Respond 200 OK", "type": "main", "index": 0 }]
      ]
    },
    "Switch — Event Type": {
      "main": [
        [{ "node": "Branch — Deal Stage → Slack", "type": "main", "index": 0 }],
        [{ "node": "Branch — Contact Created → Internal API", "type": "main", "index": 0 }],
        [{ "node": "Branch — Ticket Update → Sync", "type": "main", "index": 0 }],
        [{ "node": "Branch — Unknown Type → Park", "type": "main", "index": 0 }]
      ]
    },
    "Branch — Deal Stage → Slack": {
      "main": [
        [{ "node": "Respond 200 OK", "type": "main", "index": 0 }]
      ]
    },
    "Branch — Contact Created → Internal API": {
      "main": [
        [{ "node": "Respond 200 OK", "type": "main", "index": 0 }]
      ]
    },
    "Branch — Ticket Update → Sync": {
      "main": [
        [{ "node": "Respond 200 OK", "type": "main", "index": 0 }]
      ]
    },
    "Branch — Unknown Type → Park": {
      "main": [
        [{ "node": "Respond 200 OK", "type": "main", "index": 0 }]
      ]
    },
    "On Error": {
      "main": [
        [{ "node": "Slack — Failure Alert", "type": "main", "index": 0 }]
      ]
    }
  },
  "active": false,
  "settings": {
    "executionOrder": "v1",
    "timezone": "America/New_York",
    "saveExecutionProgress": true,
    "saveManualExecutions": true,
    "errorWorkflow": ""
  },
  "versionId": "2d2d2d2d-0001-0000-0000-0000000000ff",
  "meta": {
    "templateCreatedBy": "ooligo",
    "instanceId": "ooligo-pilot"
  },
  "id": "webhook-handler-hubspot",
  "tags": [
    { "name": "revops" },
    { "name": "webhook" },
    { "name": "hubspot" }
  ]
}