Введение/Аутентификация
Аутентификация и подпись запросов
Подписывайте запросы к API с помощью HMAC-SHA256, используя project UUID и API key.
Каждый запрос к API (кроме входящих webhook'ов) должен содержать project UUID и подпись запроса. Подпись подтверждает, что запрос пришёл именно от вас и никто не изменил его по пути.
API-ключи
В 2328.io используется два ключа с одинаковым алгоритмом подписи, но разной областью действия:
| Ключ | Используется для |
|---|---|
| API key | Платежи, статические кошельки, баланс, курсы валют, а также проверка подписи webhook'ов платежей и статических кошельков |
| Payout API key | Все endpoint'ы /v1/payout/*, а также проверка подписи webhook'ов выплат |
Оба ключа создаются в настройках проекта на 2328.io. В примерах ниже фигурирует обобщённое «API key» — подставляйте нужный ключ в зависимости от вызываемого endpoint'а.
Никогда не путайте эти два ключа: подпись запроса на выплату обычным API key (или платежа — payout-ключом) приведёт к ошибке подписи.
Обязательные заголовки
| Заголовок | Тип | Обязательный | Описание |
|---|---|---|---|
Content-Type | string | да | Всегда application/json |
project | string | да | UUID вашего проекта |
sign | string | да | Подпись запроса HMAC-SHA256, рассчитанная вашим API key |
User-Agent | string | да | Идентифицирует ваше приложение (например, MyShop/1.4 (+https://myshop.example)). Запросы без User-Agent могут быть заблокированы. |
Как работает подпись
Подпись — это «отпечаток» тела запроса. Она формируется так:
- Сериализация тела в JSON (компактный — без лишних пробелов).
- Кодирование этого JSON в Base64. Этот шаг нормализует данные между языками — после превращения в обычный ASCII любой язык даст одни и те же байты для HMAC.
- Расчёт HMAC-SHA256 от строки Base64 с использованием API key, результат в нижнем регистре в hex.
Для GET и других запросов без тела подписывайте пустую строку вместо JSON.
Подпись пустой строки для конкретного API key всегда одинакова. Если у вас много GET-вызовов, её можно закэшировать.
Реализации
PHP
<?php
function apiSign(array $data, string $apiKey): string {
$json = json_encode($data, JSON_UNESCAPED_UNICODE | JSON_UNESCAPED_SLASHES);
$base64 = base64_encode($json);
return hash_hmac('sha256', $base64, $apiKey);
}JavaScript
import crypto from "crypto";
export function apiSign(data, apiKey) {
const json = JSON.stringify(data);
const base64 = Buffer.from(json).toString("base64");
return crypto.createHmac("sha256", apiKey).update(base64).digest("hex");
}TypeScript
import { createHmac } from "crypto";
export function apiSign(data: object, apiKey: string): string {
const json = JSON.stringify(data);
const base64 = Buffer.from(json).toString("base64");
return createHmac("sha256", apiKey).update(base64).digest("hex");
}Python
import json
import hmac
import hashlib
import base64
def api_sign(data: dict, api_key: str) -> str:
# ensure_ascii=False keeps non-ASCII characters (Cyrillic, Chinese, …)
# as-is. Without it, Python escapes them to \uXXXX and the signature
# diverges from PHP / Node / Go.
body = json.dumps(data, separators=(",", ":"), ensure_ascii=False)
b64 = base64.b64encode(body.encode("utf-8")).decode()
return hmac.new(api_key.encode(), b64.encode(), hashlib.sha256).hexdigest()Go
package sign
import (
"bytes"
"crypto/hmac"
"crypto/sha256"
"encoding/base64"
"encoding/hex"
"encoding/json"
)
func ApiSign(data any, apiKey string) (string, error) {
// json.Encoder with SetEscapeHTML(false) — without it, Go escapes <, >, &
// to \u003c etc., which breaks compatibility with PHP / Node / Python.
var buf bytes.Buffer
enc := json.NewEncoder(&buf)
enc.SetEscapeHTML(false)
if err := enc.Encode(data); err != nil {
return "", err
}
// Encoder appends a trailing newline — drop it.
body := bytes.TrimRight(buf.Bytes(), "\n")
b64 := base64.StdEncoding.EncodeToString(body)
h := hmac.New(sha256.New, []byte(apiKey))
h.Write([]byte(b64))
return hex.EncodeToString(h.Sum(nil)), nil
}Запросы без тела (GET)
Для запросов без тела (например, GET /v1/payout/status/{uuid}) подписывайте пустую строку:
Shell
SIGN=$(printf '' | openssl dgst -sha256 -hmac "$API_KEY" -hex | awk '{print $NF}')PHP
$sign = hash_hmac('sha256', base64_encode(''), $apiKey);JavaScript
import { createHmac } from "crypto";
const sign = createHmac("sha256", apiKey)
.update(Buffer.from("").toString("base64"))
.digest("hex");TypeScript
import { createHmac } from "crypto";
const sign: string = createHmac("sha256", apiKey)
.update(Buffer.from("").toString("base64"))
.digest("hex");Python
import hmac
import hashlib
import base64
sign = hmac.new(
api_key.encode(),
base64.b64encode(b"").decode().encode(),
hashlib.sha256,
).hexdigest()Go
package sign
import (
"crypto/hmac"
"crypto/sha256"
"encoding/base64"
"encoding/hex"
)
func EmptyBodySign(apiKey string) string {
b64 := base64.StdEncoding.EncodeToString([]byte(""))
h := hmac.New(sha256.New, []byte(apiKey))
h.Write([]byte(b64))
return hex.EncodeToString(h.Sum(nil))
}Полный пример запроса
Shell
curl -X POST https://api.2328.io/api/v1/payment \
-H "Content-Type: application/json" \
-H "User-Agent: MyShop/1.0 (+https://myshop.example)" \
-H "project: YOUR_PROJECT_UUID" \
-H "sign: YOUR_HMAC_SIGNATURE" \
-d '{"amount":"100.00","currency":"USD","order_id":"ORDER-123"}'PHP
<?php
function apiSign(string $body, string $apiKey): string {
return hash_hmac('sha256', base64_encode($body), $apiKey);
}
$project = 'YOUR_PROJECT_UUID';
$apiKey = 'YOUR_API_KEY';
$data = [
'amount' => '100.00',
'currency' => 'USD',
'order_id' => 'ORDER-123',
];
$body = json_encode($data, JSON_UNESCAPED_UNICODE | JSON_UNESCAPED_SLASHES);
$sign = apiSign($body, $apiKey);
$ch = curl_init('https://api.2328.io/api/v1/payment');
curl_setopt_array($ch, [
CURLOPT_RETURNTRANSFER => true,
CURLOPT_POST => true,
CURLOPT_POSTFIELDS => $body,
CURLOPT_HTTPHEADER => [
'Content-Type: application/json',
'User-Agent: MyShop/1.0 (+https://myshop.example)',
"project: $project",
"sign: $sign",
],
]);
$response = json_decode(curl_exec($ch), true);JavaScript
import { createHmac } from "crypto";
function apiSign(body, apiKey) {
const base64 = Buffer.from(body, "utf8").toString("base64");
return createHmac("sha256", apiKey).update(base64).digest("hex");
}
const data = {
amount: "100.00",
currency: "USD",
order_id: "ORDER-123",
};
const body = JSON.stringify(data);
const sign = apiSign(body, process.env.API_KEY);
const res = await fetch("https://api.2328.io/api/v1/payment", {
method: "POST",
headers: {
"Content-Type": "application/json",
"User-Agent": "MyShop/1.0 (+https://myshop.example)",
project: process.env.PROJECT_UUID,
sign,
},
body,
});
const json = await res.json();TypeScript
import { createHmac } from "crypto";
function apiSign(body: string, apiKey: string): string {
const base64 = Buffer.from(body, "utf8").toString("base64");
return createHmac("sha256", apiKey).update(base64).digest("hex");
}
type CreatePaymentBody = {
amount: string;
currency: string;
order_id: string;
};
type CreatePaymentResponse = { state: number; result: unknown };
const data: CreatePaymentBody = {
amount: "100.00",
currency: "USD",
order_id: "ORDER-123",
};
const body = JSON.stringify(data);
const sign = apiSign(body, process.env.API_KEY!);
const res = await fetch("https://api.2328.io/api/v1/payment", {
method: "POST",
headers: {
"Content-Type": "application/json",
"User-Agent": "MyShop/1.0 (+https://myshop.example)",
project: process.env.PROJECT_UUID!,
sign,
},
body,
});
const json = (await res.json()) as CreatePaymentResponse;Python
import json
import hmac
import hashlib
import base64
import httpx
def api_sign(body: str, api_key: str) -> str:
b64 = base64.b64encode(body.encode("utf-8")).decode()
return hmac.new(api_key.encode(), b64.encode(), hashlib.sha256).hexdigest()
data = {
"amount": "100.00",
"currency": "USD",
"order_id": "ORDER-123",
}
body = json.dumps(data, separators=(",", ":"), ensure_ascii=False)
sign = api_sign(body, API_KEY)
r = httpx.post(
"https://api.2328.io/api/v1/payment",
headers={
"Content-Type": "application/json",
"User-Agent": "MyShop/1.0 (+https://myshop.example)",
"project": PROJECT_UUID,
"sign": sign,
},
content=body.encode("utf-8"),
)
response = r.json()Go
package main
import (
"bytes"
"crypto/hmac"
"crypto/sha256"
"encoding/base64"
"encoding/hex"
"encoding/json"
"net/http"
)
func ApiSign(body []byte, apiKey string) string {
b64 := base64.StdEncoding.EncodeToString(body)
h := hmac.New(sha256.New, []byte(apiKey))
h.Write([]byte(b64))
return hex.EncodeToString(h.Sum(nil))
}
func marshalCanonical(v any) ([]byte, error) {
var buf bytes.Buffer
enc := json.NewEncoder(&buf)
enc.SetEscapeHTML(false)
if err := enc.Encode(v); err != nil {
return nil, err
}
return bytes.TrimRight(buf.Bytes(), "\n"), nil
}
func main() {
data := struct {
Amount string `json:"amount"`
Currency string `json:"currency"`
OrderID string `json:"order_id"`
}{
Amount: "100.00",
Currency: "USD",
OrderID: "ORDER-123",
}
body, err := marshalCanonical(data)
if err != nil {
panic(err)
}
sign := ApiSign(body, apiKey)
req, _ := http.NewRequest("POST",
"https://api.2328.io/api/v1/payment",
bytes.NewReader(body))
req.Header.Set("Content-Type", "application/json")
req.Header.Set("User-Agent", "MyShop/1.0 (+https://myshop.example)")
req.Header.Set("project", projectUUID)
req.Header.Set("sign", sign)
resp, err := http.DefaultClient.Do(req)
if err != nil {
panic(err)
}
defer resp.Body.Close()
}Никогда не раскрывайте API key в клиентском коде. Все подписи должны вычисляться на вашем бэкенде. Утечка API key даёт постороннему полный доступ к вашему мерчант-аккаунту.
Проверка подписи webhook'ов
Когда 2328.io отправляет вам webhook, тот же алгоритм применяется в обратную сторону:
- Извлеките поле
signиз payload'а. - Сериализуйте оставшиеся поля в JSON (компактный, без пробелов).
- Закодируйте результат в Base64.
- Рассчитайте
HMAC-SHA256соответствующим ключом. - Сравните результат с полученным
signфункцией постоянного времени (hash_equals,crypto.timingSafeEqual,hmac.compare_digest,subtle.ConstantTimeCompare,OpenSSL.fixed_length_secure_compare).
Ключ подписи зависит от источника webhook'а:
| Webhook | Ключ для проверки |
|---|---|
Webhook'и платежей и статических кошельков (/v1/payment, /v1/static-wallet) | API key |
Webhook'и выплат (/v1/payout) | Payout API key |
Типовые ошибки проверки. Ваш JSON-энкодер должен выдавать ровно те же байты, что и отправитель — иначе Base64 будет отличаться и подпись не совпадёт.
- Go: используйте
json.NewEncoderсSetEscapeHTML(false). Стандартныйjson.Marshalэкранирует<,>,&как<и ломает подпись. - Python: передавайте
ensure_ascii=Falseвjson.dumps. Без этого не-ASCII символы (кириллица, китайский и т. д.) экранируются в\uXXXX. - Компактный JSON: без пробелов между полями (
separators=(",", ":")в Python). - Порядок полей (Go): обычный
map[string]anyрандомизирует ключи при перекодировании. Используйтеjson.RawMessage, упорядоченную структуру либо удаляйтеsignиз исходных байтов.
Если проверка всё равно не проходит, запустите apiSign на полезной нагрузке самостоятельно — он должен выдать ту же hex-строку, что и полученный sign.
Валидная подпись не защищает от повторов. Она лишь доказывает, что webhook пришёл от 2328.io — но не мешает злоумышленнику позднее переотправить перехваченный webhook. Всегда проверяйте идемпотентность по uuid (или по txid для статических кошельков) перед зачислением средств. Если подпись отсутствует или неверна — отвечайте HTTP 401.
Полные примеры кода есть на странице Webhook-уведомления. Обработка повторов и правила идемпотентности — в разделе Лучшие практики.