# Webhook 通知 > HMAC 署名付き Webhook で支払いと出金のステータス更新をリアルタイムに受信します。 2328.io は支払いステータスが変化するたびに、`url_callback` に Webhook を送信します。これは支払い成功の通知を受け取る推奨方法です。 ## リクエスト形式 - **Method:** `POST` - **Content-Type:** `application/json` - **Signature:** リクエストボディの `sign` フィールド ## ペイロード Webhook ボディは `/v1/payment/info` のレスポンスと同一で、署名検証用の `sign` フィールドが追加されています。 ### 支払い成功 ```json { "uuid": "db17d490-15b6-47b9-9015-91d1d8b119f2", "order_id": "ORDER-12345", "amount": "180.00000000", "currency": "RUB", "url": "https://go.2328.io/db17d490-15b6-47b9-9015-91d1d8b119f2", "expires_at": "2026-05-09T16:56:58+03:00", "created_at": "2026-05-09T15:56:58+03:00", "payer_currency": "TON", "payer_amount": "0.95256917", "network": "TON", "address": "UQA0RevhkCQx-EltyNgPPeG8dqtnCz7ZslOzMdNQlLxVaNBb", "payment_status": "paid", "txid": "41c2a327323480af8e705d05deb09c238a41779928832abef4bb77c862357b11", "payment_amount": "0.95256917", "merchant_amount": "0.949711462490000000", "amount_usd": "2.41324380", "exchange_rate": "0.01340691", "sign": "6f8c15b6e53b506d5bfa38ed3fb3b50697af73434262153c02e412541372f04d" } ``` ### キャンセル/失敗した支払い 支払いが終端状態 `paid` でない場合、`txid`、`payment_amount`、`merchant_amount` は `null` になります: ```json { "uuid": "48edaf2d-2c49-4638-8f86-88636f661c1f", "order_id": "ORDER-12345", "amount": "2800.00000000", "currency": "RUB", "url": "https://go.2328.io/48edaf2d-2c49-4638-8f86-88636f661c1f", "expires_at": "2026-05-09T06:19:04+03:00", "created_at": "2026-05-09T05:19:04+03:00", "payer_currency": "ETH", "payer_amount": "0.01620968", "network": "ETH-ERC20", "address": "0x37c20d6d96d130Bc5B33D832e43b8e16aACe0c59", "payment_status": "cancel", "txid": null, "payment_amount": null, "merchant_amount": null, "amount_usd": "37.53934800", "exchange_rate": "0.01340691", "sign": "40ce68ad9691ad54e684329d75ab5adaf5b01409a2d18d3e0110b8c1be605342" } ``` ### フィールドリファレンス | Field | Type | Description | |-------|------|-------------| | `uuid` | string | 支払い UUID | | `order_id` | string | 注文 ID | | `amount` | decimal (8 dp) | `currency` での法定通貨金額 | | `currency` | string | マーチャントが要求した法定通貨 | | `url` | string | ホスト型チェックアウト URL | | `expires_at` | string (ISO 8601) | 決済セッションの有効期限 | | `created_at` | string (ISO 8601) | 決済セッション作成日時 | | `payer_currency` | string | 支払者が支払う暗号資産 | | `payer_amount` | decimal (8 dp) | 期待される暗号資産の金額 | | `network` | string | ブロックチェーンネットワーク | | `address` | string | 入金アドレス | | `payment_status` | string | `pending`、`check`、`paid`、`underpaid_check`、`underpaid`、`overpaid`、`cancel`、`aml_lock` のいずれか([References](/docs/references) を参照) | | `txid` | string \| null | ブロックチェーントランザクションハッシュ。確定支払い後にのみ存在 | | `payment_amount` | decimal \| null | 実際に支払われた金額。支払い後にのみ存在 | | `merchant_amount` | decimal (18 dp) \| null | 手数料控除後にマーチャントへクレジットされる金額 | | `amount_usd` | decimal (8 dp) | 作成時点の USD 換算金額 | | `exchange_rate` | decimal | 使用された 暗号資産 / 法定通貨 の為替レート | | `sign` | string (hex) | ペイロードの HMAC-SHA256 署名 | ## 署名の検証 Webhook 署名を検証するには: 1. ペイロードから `sign` フィールドを取り出す 2. オブジェクトから `sign` フィールドを削除する 3. 残りのフィールドを JSON エンコードする 4. JSON を Base64 エンコードする 5. API_KEY を使って Base64 文字列の HMAC-SHA256 を計算する 6. 計算した署名と `sign` 値を定数時間比較で照合する > **DANGER:** **ユーザーに資金をクレジットする前に、必ず署名を検証してください。** 署名のない、または不正な署名の Webhook はなりすましリクエストである可能性があります。 ## 出金 Webhook 出金の `status` が変化すると、システムは出金作成時に渡された `url_callback` URL に `POST` Webhook を送信します。`url_callback` が指定されていない場合、その出金には Webhook は送信されません。 > **WARNING:** 出金 Webhook は通常の API キーではなく **Payout API key** で検証する必要があります。署名アルゴリズムは支払い Webhook と同一です(`sign` を取り除き、JSON エンコード、base64、HMAC-SHA256)が、キーのみが異なります。 ### ペイロード ```json { "uuid": "019dff1f-0dbd-7277-8d45-271e7775388f", "order_id": "4dfdcc84402b1185b71cbe399321533e", "status": "completed", "currency": "TRX", "network": "TRX-TRC20", "amount": "3.00", "merchant_amount": "3.00", "network_amount": "3.00", "amount_usd": "1.04", "to_address": "THauRv5tcucQRohXg8NiyGTk16DX1XQG5x", "memo": null, "txid": "9242e533703704ef3eaba840f70b4a26333e72c943377ee375fea17badb53def", "block_number": null, "error_type": null, "created_at": "2026-05-07T00:08:38+03:00", "updated_at": "2026-05-07T00:08:54+03:00", "from_currency": "USDT", "debited_amount": "1.050735", "debited_currency": "USDT", "sign": "925ad7bf3d6841864101f7cc2c7e30652e70a06cdb04dbe07a0129480000ce4a" } ``` ### フィールドリファレンス | Field | Type | Description | |-------|------|-------------| | `uuid` | string | 出金 UUID | | `order_id` | string | 提供した冪等性/参照 ID(指定した場合) | | `status` | string | `pending`、`completed`、`failed`、`cancelled`([References](/docs/references) を参照) | | `currency` | string | 出金通貨 | | `network` | string | ブロックチェーンネットワーク | | `amount` | decimal | 出金額(`currency` 単位) | | `merchant_amount` | decimal | マーチャント残高から課金された金額 | | `network_amount` | decimal | 実際にオンチェーンで送信された金額 | | `amount_usd` | decimal | 出金時点の USD 換算金額 | | `to_address` | string | 受取人のブロックチェーンアドレス | | `memo` | string \| null | 使用された場合のメモ/宛先タグ | | `txid` | string \| null | ブロックチェーントランザクションハッシュ。`completed` で設定 | | `block_number` | integer \| null | オンチェーントランザクションのブロック高 | | `error_type` | string \| null | `status = failed` のときの理由(例:`aml_risk`、[References](/docs/references) を参照) | | `created_at` | string (ISO 8601) | 出金作成日時 | | `updated_at` | string (ISO 8601) | 最終ステータス変更日時 | | `from_currency` | string | 自動換算が使われた場合に出金が引き落とされたソース残高(例:`BTC` 出金に対する `USDT`) | | `debited_amount` | decimal | `from_currency` 残高から引き落とされた金額 | | `debited_currency` | string | 引き落とし通貨 | | `sign` | string (hex) | ペイロードの HMAC-SHA256 署名(**Payout API key** で署名) | ## ベストプラクティス - **冪等性** — 支払いがすでに処理済みかを常に確認する(`order_id` または `uuid` で)。Webhook は複数回到着することがあります。 - **高速なレスポンス** — 可能な限り早く HTTP 200 を返してください。重い処理はバックグラウンドキューにオフロードします。 - **再送信** — システムが HTTP 200 を受け取らない場合、Webhook は 2 分後に再送信されます。最大 5 回まで再試行します。 - **非同期処理** — レスポンスをブロックしないよう Webhook イベントは非同期に処理してください。 - **セキュリティ** — ペイロードを信頼する前に必ず `sign` 署名を検証してください。 > **WARNING:** Webhook は順序通りに到着しないことがあります。受信した最初の Webhook が最終状態だと仮定しないでください — 確実性が必要な場合は、必ず `/v1/payment/info`(または `/v1/payout/status/{uuid}`)で再取得してください。