# Webhook-notifieringar

> Ta emot uppdateringar om betalnings- och uttagsstatus i realtid via HMAC-signerade webhooks.

2328.io-systemet skickar en webhook till din `url_callback` när en betalningsstatus ändras. Detta är det rekommenderade sättet att bli notifierad om lyckade betalningar.

## Format för förfrågan

- **Metod:** `POST`
- **Content-Type:** `application/json`
- **Signatur:** fältet `sign` i body

## Payload

Webhook-bodyn är identisk med svaret från `/v1/payment/info`, plus ett `sign`-fält som används för signaturverifiering.

### Lyckad betalning

```json
{
  "uuid": "db17d490-15b6-47b9-9015-91d1d8b119f2",
  "order_id": "ORDER-12345",
  "amount": "180.00000000",
  "currency": "RUB",
  "url": "https://go.2328.io/db17d490-15b6-47b9-9015-91d1d8b119f2",
  "expires_at": "2026-05-09T16:56:58+03:00",
  "created_at": "2026-05-09T15:56:58+03:00",
  "payer_currency": "TON",
  "payer_amount": "0.95256917",
  "network": "TON",
  "address": "UQA0RevhkCQx-EltyNgPPeG8dqtnCz7ZslOzMdNQlLxVaNBb",
  "payment_status": "paid",
  "txid": "41c2a327323480af8e705d05deb09c238a41779928832abef4bb77c862357b11",
  "payment_amount": "0.95256917",
  "merchant_amount": "0.949711462490000000",
  "amount_usd": "2.41324380",
  "exchange_rate": "0.01340691",
  "sign": "6f8c15b6e53b506d5bfa38ed3fb3b50697af73434262153c02e412541372f04d"
}
```

### Avbruten / misslyckad betalning

När betalningen inte är i terminalt `paid`-tillstånd är `txid`, `payment_amount` och `merchant_amount` `null`:

```json
{
  "uuid": "48edaf2d-2c49-4638-8f86-88636f661c1f",
  "order_id": "ORDER-12345",
  "amount": "2800.00000000",
  "currency": "RUB",
  "url": "https://go.2328.io/48edaf2d-2c49-4638-8f86-88636f661c1f",
  "expires_at": "2026-05-09T06:19:04+03:00",
  "created_at": "2026-05-09T05:19:04+03:00",
  "payer_currency": "ETH",
  "payer_amount": "0.01620968",
  "network": "ETH-ERC20",
  "address": "0x37c20d6d96d130Bc5B33D832e43b8e16aACe0c59",
  "payment_status": "cancel",
  "txid": null,
  "payment_amount": null,
  "merchant_amount": null,
  "amount_usd": "37.53934800",
  "exchange_rate": "0.01340691",
  "sign": "40ce68ad9691ad54e684329d75ab5adaf5b01409a2d18d3e0110b8c1be605342"
}
```

### Fältreferens

| Fält | Typ | Beskrivning |
|-------|------|-------------|
| `uuid` | string | Betalningens UUID |
| `order_id` | string | Ditt order-ID |
| `amount` | decimal (8 dp) | Fiatbelopp i `currency` |
| `currency` | string | Fiatvalutan handlaren begärde |
| `url` | string | URL till värdbaserad kassa |
| `expires_at` | string (ISO 8601) | När betalningssessionen löper ut |
| `created_at` | string (ISO 8601) | När betalningssessionen skapades |
| `payer_currency` | string | Krypto som betalaren betalar med |
| `payer_amount` | decimal (8 dp) | Förväntat kryptobelopp |
| `network` | string | Blockchain-nätverk |
| `address` | string | Inbetalningsadress |
| `payment_status` | string | En av: `pending`, `check`, `paid`, `underpaid_check`, `underpaid`, `overpaid`, `cancel`, `aml_lock` (se [References](/docs/references)) |
| `txid` | string \| null | Blockchain tx-hash, finns endast efter en bekräftad betalning |
| `payment_amount` | decimal \| null | Faktiskt betalat belopp, finns endast efter betalning |
| `merchant_amount` | decimal (18 dp) \| null | Belopp krediterat handlaren efter avgifter |
| `amount_usd` | decimal (8 dp) | Belopp i USD vid skapandet |
| `exchange_rate` | decimal | Använd växelkurs krypto / fiat |
| `sign` | string (hex) | HMAC-SHA256-signatur av payloaden |

## Verifiera signaturen

För att verifiera en webhook-signatur:

1. Extrahera fältet `sign` från payloaden
2. Ta bort fältet `sign` från objektet
3. Koda återstående fält som JSON
4. Koda JSON-strängen i Base64
5. Beräkna HMAC-SHA256 från Base64-strängen med din API_KEY
6. Jämför den beräknade signaturen med värdet `sign` med en tidskonstant jämförelse

<CodeSnippet name="verifyWebhookSign" langs="php,js,python,go,ruby" />

> **DANGER:** **Verifiera alltid signaturen** innan du krediterar några medel till en användare. En osignerad eller felaktigt signerad webhook kan vara en förfalskad förfrågan.

## Uttags-webhooks

När ett uttags `status` ändras skickar systemet en `POST` webhook till den `url_callback`-URL som angavs när uttaget skapades. Om `url_callback` inte angavs skickas inga webhooks för det uttaget.

> **WARNING:** Uttags-webhooks måste verifieras med din **Payout API key** — inte den vanliga API-nyckeln. Signeringsalgoritmen är identisk med betalnings-webhooks (ta bort `sign`, JSON-koda, base64, HMAC-SHA256), bara nyckeln skiljer sig.

### Payload

```json
{
  "uuid": "019dff1f-0dbd-7277-8d45-271e7775388f",
  "order_id": "4dfdcc84402b1185b71cbe399321533e",
  "status": "completed",
  "currency": "TRX",
  "network": "TRX-TRC20",
  "amount": "3.00",
  "merchant_amount": "3.00",
  "network_amount": "3.00",
  "amount_usd": "1.04",
  "to_address": "THauRv5tcucQRohXg8NiyGTk16DX1XQG5x",
  "memo": null,
  "txid": "9242e533703704ef3eaba840f70b4a26333e72c943377ee375fea17badb53def",
  "block_number": null,
  "error_type": null,
  "created_at": "2026-05-07T00:08:38+03:00",
  "updated_at": "2026-05-07T00:08:54+03:00",
  "from_currency": "USDT",
  "debited_amount": "1.050735",
  "debited_currency": "USDT",
  "sign": "925ad7bf3d6841864101f7cc2c7e30652e70a06cdb04dbe07a0129480000ce4a"
}
```

### Fältreferens

| Fält | Typ | Beskrivning |
|-------|------|-------------|
| `uuid` | string | Uttagets UUID |
| `order_id` | string | Din idempotens-/referensidentifierare, om du angav någon |
| `status` | string | `pending`, `completed`, `failed`, `cancelled` (se [References](/docs/references)) |
| `currency` | string | Uttagsvaluta |
| `network` | string | Blockchain-nätverk |
| `amount` | decimal | Uttagsbelopp (i `currency`) |
| `merchant_amount` | decimal | Belopp som debiterats från handlarsaldot |
| `network_amount` | decimal | Belopp som faktiskt skickats on-chain |
| `amount_usd` | decimal | USD-värde vid uttagets tidpunkt |
| `to_address` | string | Mottagarens blockchain-adress |
| `memo` | string \| null | Memo / destinationstagg, om använd |
| `txid` | string \| null | Blockchain-transaktionshash, sätts vid `completed` |
| `block_number` | integer \| null | Blockhöjd för on-chain-transaktionen |
| `error_type` | string \| null | Orsak när `status = failed` (t.ex. `aml_risk`, se [References](/docs/references)) |
| `created_at` | string (ISO 8601) | När uttaget skapades |
| `updated_at` | string (ISO 8601) | När statusen senast ändrades |
| `from_currency` | string | Källsaldo som uttaget debiterades från när automatisk konvertering användes (t.ex. `USDT` för ett uttag i `BTC`) |
| `debited_amount` | decimal | Belopp som debiterats från `from_currency`-saldot |
| `debited_currency` | string | Valuta för debiteringen |
| `sign` | string (hex) | HMAC-SHA256-signatur av payloaden, signerad med **Payout API key** |

## Bästa praxis

- **Idempotens** — Kontrollera alltid om betalningen redan har bearbetats (via `order_id` eller `uuid`). Webhooks kan komma flera gånger.
- **Snabbt svar** — Returnera HTTP 200 så snabbt som möjligt. Lasta av tungt arbete till en bakgrundskö.
- **Återförsök** — Om systemet inte tar emot HTTP 200 skickas webhooken igen efter 2 minuter. Maximalt 5 återförsök.
- **Asynkron bearbetning** — Hantera webhook-händelser asynkront för att undvika att blockera svaret.
- **Säkerhet** — Verifiera ALLTID `sign`-signaturen innan du litar på payloaden.

> **WARNING:** Webhooks kan komma i fel ordning. Anta inte att den första webhooken du tar emot är det slutgiltiga tillståndet — hämta alltid på nytt via `/v1/payment/info` (eller `/v1/payout/status/{uuid}`) om du behöver vara säker.