Introdução/Autenticação

Autenticação e assinatura de requisições

Assine requisições da API com HMAC-SHA256 usando o UUID do seu projeto e sua API key.

Toda requisição da API (exceto webhooks recebidos) deve carregar o UUID do seu projeto e uma assinatura. A assinatura prova que a requisição veio de você e que ninguém a alterou no caminho.

Chaves de API

A 2328.io utiliza duas chaves que compartilham o mesmo algoritmo de assinatura, mas cobrem endpoints diferentes:

Chave	Usada para
API key	Pagamentos, carteiras estáticas, saldo, taxas de câmbio e verificação de webhooks de pagamento / carteira estática
Payout API key	Todos os endpoints `/v1/payout/*` e verificação de webhooks de saque

Ambas as chaves ficam nas configurações do projeto em 2328.io. Os exemplos abaixo dizem "API key" de forma genérica — substitua pela chave correta para o endpoint que você está chamando.

Nunca misture as duas chaves: assinar uma requisição de saque com a API key comum (ou uma requisição de pagamento com a Payout key) retorna um erro de assinatura.

Cabeçalhos obrigatórios

Cabeçalho	Tipo	Obrigatório	Descrição
`Content-Type`	string	sim	Sempre `application/json`
`project`	string	sim	UUID do seu projeto
`sign`	string	sim	Assinatura HMAC-SHA256 da requisição, calculada com sua API key
`User-Agent`	string	sim	Identifica sua aplicação (ex.: `MyShop/1.4 (+https://myshop.example)`). Requisições sem `User-Agent` podem ser bloqueadas.

Como funciona a assinatura

Pense na assinatura como uma impressão digital do corpo da requisição. Ela é construída assim:

Serialize o corpo em JSON (compacto — sem espaços extras).
Codifique esse JSON em base64. Esse passo normaliza a entrada entre linguagens — uma vez convertido para ASCII puro, todas as linguagens produzem os mesmos bytes para o HMAC.
Calcule HMAC-SHA256 da string base64 usando sua API key e converta o resultado para hexadecimal em minúsculas.

Para requisições GET e outros tipos sem corpo, assine uma string vazia em vez do JSON.

A assinatura de string vazia é constante para uma dada API key. Você pode armazená-la em cache se fizer muitas chamadas GET.

Implementações

PHP

<?php
function apiSign(array $data, string $apiKey): string {
    $json = json_encode($data, JSON_UNESCAPED_UNICODE | JSON_UNESCAPED_SLASHES);
    $base64 = base64_encode($json);
    return hash_hmac('sha256', $base64, $apiKey);
}

JavaScript

import crypto from "crypto";

export function apiSign(data, apiKey) {
  const json = JSON.stringify(data);
  const base64 = Buffer.from(json).toString("base64");
  return crypto.createHmac("sha256", apiKey).update(base64).digest("hex");
}

TypeScript

import { createHmac } from "crypto";

export function apiSign(data: object, apiKey: string): string {
  const json = JSON.stringify(data);
  const base64 = Buffer.from(json).toString("base64");
  return createHmac("sha256", apiKey).update(base64).digest("hex");
}

Python

import json
import hmac
import hashlib
import base64

def api_sign(data: dict, api_key: str) -> str:
    # ensure_ascii=False keeps non-ASCII characters (Cyrillic, Chinese, …)
    # as-is. Without it, Python escapes them to \uXXXX and the signature
    # diverges from PHP / Node / Go.
    body = json.dumps(data, separators=(",", ":"), ensure_ascii=False)
    b64 = base64.b64encode(body.encode("utf-8")).decode()
    return hmac.new(api_key.encode(), b64.encode(), hashlib.sha256).hexdigest()

package sign

import (
    "bytes"
    "crypto/hmac"
    "crypto/sha256"
    "encoding/base64"
    "encoding/hex"
    "encoding/json"
)

func ApiSign(data any, apiKey string) (string, error) {
    // json.Encoder with SetEscapeHTML(false) — without it, Go escapes <, >, &
    // to \u003c etc., which breaks compatibility with PHP / Node / Python.
    var buf bytes.Buffer
    enc := json.NewEncoder(&buf)
    enc.SetEscapeHTML(false)
    if err := enc.Encode(data); err != nil {
        return "", err
    }
    // Encoder appends a trailing newline — drop it.
    body := bytes.TrimRight(buf.Bytes(), "\n")

    b64 := base64.StdEncoding.EncodeToString(body)
    h := hmac.New(sha256.New, []byte(apiKey))
    h.Write([]byte(b64))
    return hex.EncodeToString(h.Sum(nil)), nil
}

Requisições sem corpo (GET)

Para requisições com corpo vazio (por exemplo, GET /v1/payout/status/{uuid}), assine uma string vazia:

Shell

SIGN=$(printf '' | openssl dgst -sha256 -hmac "$API_KEY" -hex | awk '{print $NF}')

package sign

import (
    "crypto/hmac"
    "crypto/sha256"
    "encoding/base64"
    "encoding/hex"
)

func EmptyBodySign(apiKey string) string {
    b64 := base64.StdEncoding.EncodeToString([]byte(""))
    h := hmac.New(sha256.New, []byte(apiKey))
    h.Write([]byte(b64))
    return hex.EncodeToString(h.Sum(nil))
}

Exemplo completo de requisição

Shell

curl -X POST https://api.2328.io/api/v1/payment \
  -H "Content-Type: application/json" \
  -H "User-Agent: MyShop/1.0 (+https://myshop.example)" \
  -H "project: YOUR_PROJECT_UUID" \
  -H "sign: YOUR_HMAC_SIGNATURE" \
  -d '{"amount":"100.00","currency":"USD","order_id":"ORDER-123"}'

PHP

<?php
function apiSign(string $body, string $apiKey): string {
    return hash_hmac('sha256', base64_encode($body), $apiKey);
}

$project = 'YOUR_PROJECT_UUID';
$apiKey  = 'YOUR_API_KEY';

$data = [
    'amount'   => '100.00',
    'currency' => 'USD',
    'order_id' => 'ORDER-123',
];

$body = json_encode($data, JSON_UNESCAPED_UNICODE | JSON_UNESCAPED_SLASHES);
$sign = apiSign($body, $apiKey);

$ch = curl_init('https://api.2328.io/api/v1/payment');
curl_setopt_array($ch, [
    CURLOPT_RETURNTRANSFER => true,
    CURLOPT_POST => true,
    CURLOPT_POSTFIELDS => $body,
    CURLOPT_HTTPHEADER => [
        'Content-Type: application/json',
        'User-Agent: MyShop/1.0 (+https://myshop.example)',
        "project: $project",
        "sign: $sign",
    ],
]);

$response = json_decode(curl_exec($ch), true);

JavaScript

import { createHmac } from "crypto";

function apiSign(body, apiKey) {
  const base64 = Buffer.from(body, "utf8").toString("base64");
  return createHmac("sha256", apiKey).update(base64).digest("hex");
}

const data = {
  amount: "100.00",
  currency: "USD",
  order_id: "ORDER-123",
};

const body = JSON.stringify(data);
const sign = apiSign(body, process.env.API_KEY);

const res = await fetch("https://api.2328.io/api/v1/payment", {
  method: "POST",
  headers: {
    "Content-Type": "application/json",
    "User-Agent": "MyShop/1.0 (+https://myshop.example)",
    project: process.env.PROJECT_UUID,
    sign,
  },
  body,
});

const json = await res.json();

TypeScript

import { createHmac } from "crypto";

function apiSign(body: string, apiKey: string): string {
  const base64 = Buffer.from(body, "utf8").toString("base64");
  return createHmac("sha256", apiKey).update(base64).digest("hex");
}

type CreatePaymentBody = {
  amount: string;
  currency: string;
  order_id: string;
};

type CreatePaymentResponse = { state: number; result: unknown };

const data: CreatePaymentBody = {
  amount: "100.00",
  currency: "USD",
  order_id: "ORDER-123",
};

const body = JSON.stringify(data);
const sign = apiSign(body, process.env.API_KEY!);

const res = await fetch("https://api.2328.io/api/v1/payment", {
  method: "POST",
  headers: {
    "Content-Type": "application/json",
    "User-Agent": "MyShop/1.0 (+https://myshop.example)",
    project: process.env.PROJECT_UUID!,
    sign,
  },
  body,
});

const json = (await res.json()) as CreatePaymentResponse;

Python

import json
import hmac
import hashlib
import base64
import httpx

def api_sign(body: str, api_key: str) -> str:
    b64 = base64.b64encode(body.encode("utf-8")).decode()
    return hmac.new(api_key.encode(), b64.encode(), hashlib.sha256).hexdigest()

data = {
    "amount": "100.00",
    "currency": "USD",
    "order_id": "ORDER-123",
}

body = json.dumps(data, separators=(",", ":"), ensure_ascii=False)
sign = api_sign(body, API_KEY)

r = httpx.post(
    "https://api.2328.io/api/v1/payment",
    headers={
        "Content-Type": "application/json",
        "User-Agent": "MyShop/1.0 (+https://myshop.example)",
        "project": PROJECT_UUID,
        "sign": sign,
    },
    content=body.encode("utf-8"),
)
response = r.json()

package main

import (
    "bytes"
    "crypto/hmac"
    "crypto/sha256"
    "encoding/base64"
    "encoding/hex"
    "encoding/json"
    "net/http"
)

func ApiSign(body []byte, apiKey string) string {
    b64 := base64.StdEncoding.EncodeToString(body)
    h := hmac.New(sha256.New, []byte(apiKey))
    h.Write([]byte(b64))
    return hex.EncodeToString(h.Sum(nil))
}

func marshalCanonical(v any) ([]byte, error) {
    var buf bytes.Buffer
    enc := json.NewEncoder(&buf)
    enc.SetEscapeHTML(false)
    if err := enc.Encode(v); err != nil {
        return nil, err
    }
    return bytes.TrimRight(buf.Bytes(), "\n"), nil
}

func main() {
    data := struct {
        Amount   string `json:"amount"`
        Currency string `json:"currency"`
        OrderID  string `json:"order_id"`
    }{
        Amount:   "100.00",
        Currency: "USD",
        OrderID:  "ORDER-123",
    }

    body, err := marshalCanonical(data)
    if err != nil {
        panic(err)
    }
    sign := ApiSign(body, apiKey)

    req, _ := http.NewRequest("POST",
        "https://api.2328.io/api/v1/payment",
        bytes.NewReader(body))
    req.Header.Set("Content-Type", "application/json")
    req.Header.Set("User-Agent", "MyShop/1.0 (+https://myshop.example)")
    req.Header.Set("project", projectUUID)
    req.Header.Set("sign", sign)

    resp, err := http.DefaultClient.Do(req)
    if err != nil {
        panic(err)
    }
    defer resp.Body.Close()
}

Nunca exponha sua API key em código do lado do cliente. Assine as requisições no seu backend. Uma API key vazada dá a qualquer pessoa acesso total à sua conta de comerciante.

Verificando assinaturas de webhook

Quando a 2328.io envia um webhook para você, o mesmo algoritmo é executado no sentido inverso:

Extraia o campo sign do payload.
Codifique os campos restantes em JSON (compacto, sem espaços).
Codifique essa string em base64.
Calcule HMAC-SHA256 com a chave apropriada.
Compare com o sign recebido usando uma comparação em tempo constante (hash_equals, crypto.timingSafeEqual, hmac.compare_digest, subtle.ConstantTimeCompare, OpenSSL.fixed_length_secure_compare).

A chave de assinatura depende da origem do webhook:

Webhook	Chave para verificar
Webhooks de pagamento / carteira estática (`/v1/payment`, `/v1/static-wallet`)	API key
Webhooks de saque (`/v1/payout`)	Payout API key

Erros comuns de verificação. Seu codificador JSON deve produzir exatamente os mesmos bytes que o remetente produziu — caso contrário o Base64 difere e a assinatura não vai bater.

Go: use json.NewEncoder com SetEscapeHTML(false). O json.Marshal padrão escapa <, >, & para < e quebra a assinatura.
Python: passe ensure_ascii=False para json.dumps. Sem isso, caracteres não ASCII (cirílico, chinês, …) são escapados para \uXXXX.
JSON compacto: sem espaços em branco entre campos (separators=(",", ":") em Python).
Ordem dos campos (Go): um map[string]any puro randomiza as chaves ao recodificar. Use json.RawMessage, uma struct ordenada ou remova sign dos bytes originais.

Se a verificação continuar falhando, execute apiSign no payload você mesmo — ele deve produzir a mesma string hexadecimal que o sign recebido.

Uma assinatura válida não previne replays. Ela apenas prova que o webhook veio do 2328.io — não impede que um atacante reposte um webhook capturado mais tarde. Sempre verifique idempotência por uuid (ou txid para carteiras estáticas) antes de creditar fundos. Rejeite com HTTP 401 se a assinatura estiver ausente ou incorreta.

Exemplos de código completos estão em Webhook Notifications. Tratamento de retentativas e regras de idempotência estão em Boas práticas.