WhatsApp y onboarding

Loop bidireccional de WhatsApp

1. Entrada: Meta envía un webhook firmado a POST /api/v1/webhooks/whatsapp. El api-gateway verifica la firma HMAC (X-Hub-Signature-256), resuelve el phone_number_id → workspace, persiste contacto/conversación/mensaje (bajo RLS) y publica message.received en RabbitMQ.
2. Procesamiento: el flow-engine consume el evento y ejecuta el flujo activo del workspace.
3. Salida: el nodo send_whatsapp responde vía la API de Meta con el token del tenant.

Soporta plantillas y mensajes interactivos (botones/listas).

Conexión de la cuenta de WhatsApp

Dos vías:

• Embedded Signup (recomendado): el negocio autoriza su cuenta de WhatsApp Business API directamente; el control-plane intercambia el código por un token y configura el webhook.
• Token manual: se pega un access token + phone number id.

Producción

Para operar con números reales, la app de Meta debe estar en modo Live (App Review + Business Verification). En modo dev solo funcionan números de prueba.

Onboarding con gate

El primer ingreso del cliente abre un wizard guiado por industria. Hasta completarlo, un gate bloquea toda la plataforma — defensa en profundidad:

• Flag onboarding_completed_at en el workspace.
• Guard en la UI.
• Rechazo en el backend (403 ONBOARDING_REQUIRED) en las rutas operativas.

La industria incluye la opción “Otra” con texto libre, así que nunca queda cerrado a un catálogo fijo.