{
  "status": "ONDA WhatsApp Bot",
  "message": "Diagnóstico del endpoint (GET). Para POST firmado revisá `whatsapp` y `health_url`.",
  "url_webhook": "https://onda.precisar.net/api/webhook",
  "health_url": "https://onda.precisar.net/api/wa/health",
  "whatsapp": {
    "canAcceptSignedWebhook": false,
    "canSendMessages": true,
    "canMetaSubscribe": true,
    "missingForWebhookPost": [
      "WHATSAPP_WEBHOOK_SECRET"
    ],
    "missingForSending": [],
    "metaDependencyNotes": [
      "Meta debe tener el webhook apuntando a esta URL pública con el mismo WHATSAPP_VERIFY_TOKEN y suscrito a eventos de mensajes.",
      "El número de WhatsApp Business debe estar asociado a la app y aprobado según las políticas de Meta (plantillas fuera de ventana de 24 h).",
      "La firma x-hub-signature-256 usa el valor de WHATSAPP_WEBHOOK_SECRET (configurable en el panel de la app de Meta como App Secret o el secreto del webhook según tu configuración)."
    ],
    "repoSetupNotes": [
      "Definí WHATSAPP_WEBHOOK_SECRET antes de aceptar POST; sin eso el servidor rechaza el cuerpo (evita procesar payloads no firmados).",
      "Para enviar respuestas: WHATSAPP_ACCESS_TOKEN y WHATSAPP_PHONE_NUMBER_ID.",
      "Para la verificación inicial GET: WHATSAPP_VERIFY_TOKEN debe coincidir con el token configurado en Meta.",
      "Recomendado en producción: WHATSAPP_APP_SECRET o META_APP_SECRET para otras comprobaciones Meta (p. ej. intercambio de tokens); no sustituye WHATSAPP_WEBHOOK_SECRET en POST."
    ]
  },
  "env_flags": {
    "WHATSAPP_WEBHOOK_SECRET": false,
    "WHATSAPP_VERIFY_TOKEN": true,
    "WHATSAPP_ACCESS_TOKEN": true,
    "WHATSAPP_PHONE_NUMBER_ID": true,
    "WHATSAPP_APP_SECRET_OR_META_APP_SECRET": false,
    "OPENAI_API_KEY": true
  },
  "documentation": {
    "checklist_operativo": "docs/META-WHATSAPP-CHECKLIST.md",
    "detalle_tecnico": "docs/WHATSAPP-OPERACION.md"
  },
  "meta_vs_repo": {
    "repo_must_provide": [
      "WHATSAPP_WEBHOOK_SECRET — firma de cada POST (x-hub-signature-256). Sin esto el servidor rechaza el cuerpo.",
      "WHATSAPP_ACCESS_TOKEN y WHATSAPP_PHONE_NUMBER_ID — para enviar respuestas por la API de Meta.",
      "WHATSAPP_VERIFY_TOKEN — debe coincidir con el token que configurás al suscribir el webhook en Meta."
    ],
    "meta_must_provide": [
      "App de Meta + número de WhatsApp Business aprobado según sus políticas.",
      "URL pública HTTPS de este webhook y suscripción a eventos `messages`.",
      "Mismo secreto en Meta (App Secret / configuración de webhook) que en WHATSAPP_WEBHOOK_SECRET."
    ]
  }
}