Аутентификация

Аутентификация по подписи

1. Сгенерируйте подпись на основе тела запроса и приватного ключа Мерчанта

2. Передайте подпись через HTTP-заголовок signature

Относитесь к приватному ключу как к паролю. Не передавайте его третьим лицам.

Генерирование подписи:

Подпись используется для аутентификации сообщений WebHook и запросов API при аутентификации по подписи. Для этого используется SHA-256 хеширование.

Для создании подписи необходимо, произвести следующие действия над параметрами запроса:

1. Отсортировать по индексу в порядке возрастания

2. Закодировать в URL-кодировке

3. Хэшировать используя алгоритм SHA-256 HMAC, в качестве секретного ключа — использовать приватный ключ Мерчанта

Пример создания подписи на PHP:

$requestData['api_key'] = $merchantUuid;
ksort($requestData);

$signature = hash_hmac('sha256', http_build_query($requestData), $privateKey);

Чтобы передать подпись в запрос, добавьте её в HTTP-заголовок запроса signature.

В API запрос также передается UUID мерчанта в HTTP-заголовоке public-key, по которому система находит Мерчант. После этого с помощью приватного ключа мерчанта, который устанавливает Пользователь API в разделе мерчантов, система хэширует данные тела запроса создавая аналогичную подпись на своей стороне. Если полученная в API запросе подпись идентична подписи сформированной на стороне сервера, пользователь проходит аутентификацию.