# Webhook-сповіщення

> Отримуйте оновлення статусу платежів та виплат у режимі реального часу через webhooks, підписані HMAC.

Система 2328.io надсилає webhook на ваш `url_callback` щоразу, коли змінюється статус платежу. Це рекомендований спосіб отримувати сповіщення про успішні платежі.

## Формат запиту

- **Метод:** `POST`
- **Content-Type:** `application/json`
- **Підпис:** поле `sign` у тілі запиту

## Payload

Тіло webhook ідентичне відповіді `/v1/payment/info` плюс поле `sign`, що використовується для перевірки підпису.

### Успішний платіж

```json
{
  "uuid": "db17d490-15b6-47b9-9015-91d1d8b119f2",
  "order_id": "ORDER-12345",
  "amount": "180.00000000",
  "currency": "RUB",
  "url": "https://go.2328.io/db17d490-15b6-47b9-9015-91d1d8b119f2",
  "expires_at": "2026-05-09T16:56:58+03:00",
  "created_at": "2026-05-09T15:56:58+03:00",
  "payer_currency": "TON",
  "payer_amount": "0.95256917",
  "network": "TON",
  "address": "UQA0RevhkCQx-EltyNgPPeG8dqtnCz7ZslOzMdNQlLxVaNBb",
  "payment_status": "paid",
  "txid": "41c2a327323480af8e705d05deb09c238a41779928832abef4bb77c862357b11",
  "payment_amount": "0.95256917",
  "merchant_amount": "0.949711462490000000",
  "amount_usd": "2.41324380",
  "exchange_rate": "0.01340691",
  "sign": "6f8c15b6e53b506d5bfa38ed3fb3b50697af73434262153c02e412541372f04d"
}
```

### Скасований / невдалий платіж

Коли платіж не перебуває у термінальному стані `paid`, поля `txid`, `payment_amount` та `merchant_amount` дорівнюють `null`:

```json
{
  "uuid": "48edaf2d-2c49-4638-8f86-88636f661c1f",
  "order_id": "ORDER-12345",
  "amount": "2800.00000000",
  "currency": "RUB",
  "url": "https://go.2328.io/48edaf2d-2c49-4638-8f86-88636f661c1f",
  "expires_at": "2026-05-09T06:19:04+03:00",
  "created_at": "2026-05-09T05:19:04+03:00",
  "payer_currency": "ETH",
  "payer_amount": "0.01620968",
  "network": "ETH-ERC20",
  "address": "0x37c20d6d96d130Bc5B33D832e43b8e16aACe0c59",
  "payment_status": "cancel",
  "txid": null,
  "payment_amount": null,
  "merchant_amount": null,
  "amount_usd": "37.53934800",
  "exchange_rate": "0.01340691",
  "sign": "40ce68ad9691ad54e684329d75ab5adaf5b01409a2d18d3e0110b8c1be605342"
}
```

### Опис полів

| Поле | Тип | Опис |
|------|-----|------|
| `uuid` | string | UUID платежу |
| `order_id` | string | Ваш ID замовлення |
| `amount` | decimal (8 dp) | Фіатна сума у `currency` |
| `currency` | string | Фіатна валюта, яку запитав мерчант |
| `url` | string | URL хостингового checkout |
| `expires_at` | string (ISO 8601) | Коли спливає термін платіжної сесії |
| `created_at` | string (ISO 8601) | Коли було створено платіжну сесію |
| `payer_currency` | string | Криптовалюта, якою сплачує платник |
| `payer_amount` | decimal (8 dp) | Очікувана сума криптовалюти |
| `network` | string | Блокчейн-мережа |
| `address` | string | Депозитна адреса |
| `payment_status` | string | Одне з: `pending`, `check`, `paid`, `underpaid_check`, `underpaid`, `overpaid`, `cancel`, `aml_lock` (див. [References](/docs/references)) |
| `txid` | string \| null | Хеш блокчейн-транзакції, присутній лише після підтвердженого платежу |
| `payment_amount` | decimal \| null | Фактично сплачена сума, присутня лише після оплати |
| `merchant_amount` | decimal (18 dp) \| null | Сума, зарахована мерчанту після комісій |
| `amount_usd` | decimal (8 dp) | Сума у USD на момент створення |
| `exchange_rate` | decimal | Використаний курс обміну crypto / fiat |
| `sign` | string (hex) | Підпис HMAC-SHA256 payload |

## Перевірка підпису

Щоб перевірити підпис webhook:

1. Витягніть поле `sign` із payload
2. Видаліть поле `sign` з об'єкта
3. Закодуйте інші поля у JSON
4. Закодуйте JSON у base64
5. Обчисліть HMAC-SHA256 від base64-рядка, використовуючи свій API_KEY
6. Порівняйте обчислений підпис із значенням `sign`, використовуючи порівняння за константний час

<CodeSnippet name="verifyWebhookSign" langs="php,js,python,go,ruby" />

> **DANGER:** **Завжди перевіряйте підпис** перед зарахуванням будь-яких коштів користувачу. Непідписаний або неправильно підписаний webhook може бути підробленим запитом.

## Webhooks виплат

Коли `status` виплати змінюється, система надсилає `POST` webhook на URL `url_callback`, переданий під час створення виплати. Якщо `url_callback` не було надано, для цієї виплати webhooks не надсилаються.

> **WARNING:** Webhooks виплат мають перевірятися за допомогою вашого **Payout API key** — а не звичайного API key. Алгоритм підпису ідентичний webhooks платежів (видалити `sign`, закодувати у JSON, base64, HMAC-SHA256), відрізняється лише ключ.

### Payload

```json
{
  "uuid": "019dff1f-0dbd-7277-8d45-271e7775388f",
  "order_id": "4dfdcc84402b1185b71cbe399321533e",
  "status": "completed",
  "currency": "TRX",
  "network": "TRX-TRC20",
  "amount": "3.00",
  "merchant_amount": "3.00",
  "network_amount": "3.00",
  "amount_usd": "1.04",
  "to_address": "THauRv5tcucQRohXg8NiyGTk16DX1XQG5x",
  "memo": null,
  "txid": "9242e533703704ef3eaba840f70b4a26333e72c943377ee375fea17badb53def",
  "block_number": null,
  "error_type": null,
  "created_at": "2026-05-07T00:08:38+03:00",
  "updated_at": "2026-05-07T00:08:54+03:00",
  "from_currency": "USDT",
  "debited_amount": "1.050735",
  "debited_currency": "USDT",
  "sign": "925ad7bf3d6841864101f7cc2c7e30652e70a06cdb04dbe07a0129480000ce4a"
}
```

### Опис полів

| Поле | Тип | Опис |
|------|-----|------|
| `uuid` | string | UUID виплати |
| `order_id` | string | Ваш ID ідемпотентності / посилання, якщо ви його надали |
| `status` | string | `pending`, `completed`, `failed`, `cancelled` (див. [References](/docs/references)) |
| `currency` | string | Валюта виплати |
| `network` | string | Блокчейн-мережа |
| `amount` | decimal | Сума виплати (у `currency`) |
| `merchant_amount` | decimal | Сума, списана з мерчант-балансу |
| `network_amount` | decimal | Сума, фактично надіслана у блокчейн |
| `amount_usd` | decimal | Вартість у USD на момент виплати |
| `to_address` | string | Блокчейн-адреса отримувача |
| `memo` | string \| null | Memo / destination tag, якщо використовується |
| `txid` | string \| null | Хеш блокчейн-транзакції, встановлюється для `completed` |
| `block_number` | integer \| null | Висота блока on-chain транзакції |
| `error_type` | string \| null | Причина, коли `status = failed` (наприклад, `aml_risk`, див. [References](/docs/references)) |
| `created_at` | string (ISO 8601) | Коли було створено виплату |
| `updated_at` | string (ISO 8601) | Коли востаннє змінювався статус |
| `from_currency` | string | Вихідний баланс, з якого було списано виплату при використанні автоконвертації (наприклад, `USDT` для виплати у `BTC`) |
| `debited_amount` | decimal | Сума, списана з балансу `from_currency` |
| `debited_currency` | string | Валюта списання |
| `sign` | string (hex) | Підпис HMAC-SHA256 payload, підписаний за допомогою **Payout API key** |

## Найкращі практики

- **Ідемпотентність** — завжди перевіряйте, чи вже було оброблено платіж (за `order_id` або `uuid`). Webhooks можуть надходити кілька разів.
- **Швидка відповідь** — повертайте HTTP 200 якомога швидше. Виносьте важку роботу у фонову чергу.
- **Повторні спроби** — якщо система не отримує HTTP 200, webhook повторно надсилається через 2 хвилини. Максимум 5 спроб повторного надсилання.
- **Асинхронна обробка** — обробляйте події webhook асинхронно, щоб не блокувати відповідь.
- **Безпека** — ЗАВЖДИ перевіряйте підпис `sign` перед тим, як довіряти payload.

> **WARNING:** Webhooks можуть надходити не по порядку. Не припускайте, що перший отриманий webhook є фінальним станом — завжди робіть повторний запит через `/v1/payment/info` (або `/v1/payout/status/{uuid}`), якщо потрібна впевненість.