# Notifications webhook > Recevez en temps réel les mises à jour de statut des paiements et des retraits via des webhooks signés HMAC. Le système 2328.io envoie un webhook à votre `url_callback` chaque fois qu'un statut de paiement change. C'est la méthode recommandée pour être notifié des paiements réussis. ## Format de la requête - **Méthode :** `POST` - **Content-Type :** `application/json` - **Signature :** champ `sign` dans le corps de la requête ## Payload Le corps du webhook est identique à la réponse de `/v1/payment/info`, plus un champ `sign` utilisé pour la vérification de la signature. ### Paiement réussi ```json { "uuid": "db17d490-15b6-47b9-9015-91d1d8b119f2", "order_id": "ORDER-12345", "amount": "180.00000000", "currency": "RUB", "url": "https://go.2328.io/db17d490-15b6-47b9-9015-91d1d8b119f2", "expires_at": "2026-05-09T16:56:58+03:00", "created_at": "2026-05-09T15:56:58+03:00", "payer_currency": "TON", "payer_amount": "0.95256917", "network": "TON", "address": "UQA0RevhkCQx-EltyNgPPeG8dqtnCz7ZslOzMdNQlLxVaNBb", "payment_status": "paid", "txid": "41c2a327323480af8e705d05deb09c238a41779928832abef4bb77c862357b11", "payment_amount": "0.95256917", "merchant_amount": "0.949711462490000000", "amount_usd": "2.41324380", "exchange_rate": "0.01340691", "sign": "6f8c15b6e53b506d5bfa38ed3fb3b50697af73434262153c02e412541372f04d" } ``` ### Paiement annulé / échoué Lorsque le paiement n'est pas dans un état terminal `paid`, `txid`, `payment_amount` et `merchant_amount` valent `null` : ```json { "uuid": "48edaf2d-2c49-4638-8f86-88636f661c1f", "order_id": "ORDER-12345", "amount": "2800.00000000", "currency": "RUB", "url": "https://go.2328.io/48edaf2d-2c49-4638-8f86-88636f661c1f", "expires_at": "2026-05-09T06:19:04+03:00", "created_at": "2026-05-09T05:19:04+03:00", "payer_currency": "ETH", "payer_amount": "0.01620968", "network": "ETH-ERC20", "address": "0x37c20d6d96d130Bc5B33D832e43b8e16aACe0c59", "payment_status": "cancel", "txid": null, "payment_amount": null, "merchant_amount": null, "amount_usd": "37.53934800", "exchange_rate": "0.01340691", "sign": "40ce68ad9691ad54e684329d75ab5adaf5b01409a2d18d3e0110b8c1be605342" } ``` ### Référence des champs | Champ | Type | Description | |-------|------|-------------| | `uuid` | string | UUID du paiement | | `order_id` | string | Votre ID de commande | | `amount` | decimal (8 dp) | Montant fiat dans `currency` | | `currency` | string | Devise fiat demandée par le marchand | | `url` | string | URL de la page de paiement hébergée | | `expires_at` | string (ISO 8601) | Date d'expiration de la session de paiement | | `created_at` | string (ISO 8601) | Date de création de la session de paiement | | `payer_currency` | string | Crypto utilisée par le payeur | | `payer_amount` | decimal (8 dp) | Montant en crypto attendu | | `network` | string | Réseau blockchain | | `address` | string | Adresse de dépôt | | `payment_status` | string | L'une des valeurs : `pending`, `check`, `paid`, `underpaid_check`, `underpaid`, `overpaid`, `cancel`, `aml_lock` (voir [References](/docs/references)) | | `txid` | string \| null | Hash de la transaction blockchain, présent uniquement après confirmation du paiement | | `payment_amount` | decimal \| null | Montant réellement payé, présent uniquement après le paiement | | `merchant_amount` | decimal (18 dp) \| null | Montant crédité au marchand après les frais | | `amount_usd` | decimal (8 dp) | Montant en USD au moment de la création | | `exchange_rate` | decimal | Taux de change crypto / fiat utilisé | | `sign` | string (hex) | Signature HMAC-SHA256 du payload | ## Vérification de la signature Pour vérifier la signature d'un webhook : 1. Extrayez le champ `sign` du payload 2. Supprimez le champ `sign` de l'objet 3. Encodez les champs restants en JSON 4. Encodez le JSON en Base64 5. Calculez HMAC-SHA256 à partir de la chaîne Base64 en utilisant votre API_KEY 6. Comparez la signature calculée à la valeur `sign` à l'aide d'une comparaison à temps constant > **DANGER:** **Vérifiez toujours la signature** avant de créditer des fonds à un utilisateur. Un webhook non signé ou mal signé pourrait être une requête frauduleuse. ## Webhooks de retrait Lorsque le `status` d'un retrait change, le système envoie un webhook `POST` à l'URL `url_callback` fournie lors de la création du retrait. Si `url_callback` n'a pas été fourni, aucun webhook n'est envoyé pour ce retrait. > **WARNING:** Les webhooks de retrait doivent être vérifiés avec votre **Payout API key** — pas l'API key classique. L'algorithme de signature est identique à celui des webhooks de paiement (retirer `sign`, encoder en JSON, base64, HMAC-SHA256), seule la clé diffère. ### Payload ```json { "uuid": "019dff1f-0dbd-7277-8d45-271e7775388f", "order_id": "4dfdcc84402b1185b71cbe399321533e", "status": "completed", "currency": "TRX", "network": "TRX-TRC20", "amount": "3.00", "merchant_amount": "3.00", "network_amount": "3.00", "amount_usd": "1.04", "to_address": "THauRv5tcucQRohXg8NiyGTk16DX1XQG5x", "memo": null, "txid": "9242e533703704ef3eaba840f70b4a26333e72c943377ee375fea17badb53def", "block_number": null, "error_type": null, "created_at": "2026-05-07T00:08:38+03:00", "updated_at": "2026-05-07T00:08:54+03:00", "from_currency": "USDT", "debited_amount": "1.050735", "debited_currency": "USDT", "sign": "925ad7bf3d6841864101f7cc2c7e30652e70a06cdb04dbe07a0129480000ce4a" } ``` ### Référence des champs | Champ | Type | Description | |-------|------|-------------| | `uuid` | string | UUID du retrait | | `order_id` | string | Votre identifiant d'idempotence / référence, si vous en avez fourni un | | `status` | string | `pending`, `completed`, `failed`, `cancelled` (voir [References](/docs/references)) | | `currency` | string | Devise du retrait | | `network` | string | Réseau blockchain | | `amount` | decimal | Montant du retrait (dans `currency`) | | `merchant_amount` | decimal | Montant prélevé sur le solde marchand | | `network_amount` | decimal | Montant réellement envoyé on-chain | | `amount_usd` | decimal | Valeur en USD au moment du retrait | | `to_address` | string | Adresse blockchain du destinataire | | `memo` | string \| null | Mémo / tag de destination, le cas échéant | | `txid` | string \| null | Hash de la transaction blockchain, défini lors du `completed` | | `block_number` | integer \| null | Hauteur du bloc de la transaction on-chain | | `error_type` | string \| null | Raison lorsque `status = failed` (par ex. `aml_risk`, voir [References](/docs/references)) | | `created_at` | string (ISO 8601) | Date de création du retrait | | `updated_at` | string (ISO 8601) | Date du dernier changement de statut | | `from_currency` | string | Solde source débité pour le retrait lorsqu'une conversion automatique a été utilisée (par ex. `USDT` pour un retrait en `BTC`) | | `debited_amount` | decimal | Montant débité du solde `from_currency` | | `debited_currency` | string | Devise du débit | | `sign` | string (hex) | Signature HMAC-SHA256 du payload, signée avec la **Payout API key** | ## Bonnes pratiques - **Idempotence** — Vérifiez toujours si le paiement a déjà été traité (par `order_id` ou `uuid`). Les webhooks peuvent arriver plusieurs fois. - **Réponse rapide** — Renvoyez HTTP 200 le plus rapidement possible. Déléguez le traitement lourd à une file d'attente en arrière-plan. - **Retentatives** — Si le système ne reçoit pas de HTTP 200, le webhook est renvoyé après 2 minutes. Maximum 5 tentatives. - **Traitement asynchrone** — Traitez les événements webhook de manière asynchrone pour éviter de bloquer la réponse. - **Sécurité** — Vérifiez TOUJOURS la signature `sign` avant de faire confiance au payload. > **WARNING:** Les webhooks peuvent arriver dans le désordre. Ne supposez pas que le premier webhook reçu est l'état final — récupérez toujours les données via `/v1/payment/info` (ou `/v1/payout/status/{uuid}`) si vous avez besoin de certitude.