Как в QIWI API при помощи SDK проверить целостность хеша и ответить, что все правильно?

Question

r4gn4r0k @r4gn4r0k

Qiwi

Как в QIWI API при помощи SDK проверить целостность хеша и ответить, что все правильно?

Приветствую! Я могу формировать заявку при помощи QIWI PHP SDK, но мне помимо этого еще нужно проверять, что платеж оплачен, делать соответствующие действия, затем отправлять сервису сообщение о том, что проверка прошла успешно.
Для этого я создал файл good.php, в настройках API указал, что POST-запрос будет приходить на него. В нем написал код, чтобы он брал данные из заголовка X-Api-Signature-SHA256, затем брал массив данных (в формате JSON), которые приходят в теле запроса, перекодировал их в обычный PHP-массив.
Провел проверку и все данные выводятся успешно. Но непонятно как работает функция checkNotificationSignature, какие параметры ей задавать.
Первый параметр - $signature. Его я беру из заголовка X-Api-Signature-SHA256
Второй параметр - $notificationBody. Его я беру из массива данных
Третий параметр - $merchantSecret. А вот его я хз откуда брать. Это секретный ключ, из пары ключей, которое выдает QIWI или что?

Далее функция возвращает true или false. На основании ее ответа мне надо обратно отправить JSON массив. Вопрос: как мне при помощи CURL отправить его обратно, если я не знаю откуда конкретно он пришел?

Вопрос задан более трёх лет назад
574 просмотра

14 комментариев

Подписаться 4 Средний 14 комментариев

Алексей Ярков @yarkov

Что в документации по этому поводу пишут?

Написано более трёх лет назад
r4gn4r0k @r4gn4r0k Автор вопроса
Алексей Ярков, По 1му вопросу:
Подпись уведомления отправляется в заголовке X-Api-Signature-SHA256. Для формирования подписи используется механизм проверки целостности HMAC с хэш-функцией SHA256.

Алгоритм проверки подписи:

1) Объединить значения параметров в одну строку с разделителем |:

invoice_parameters = {amount.currency}|{amount.value}|{billId}|{siteId}|{status.value}

где {*} – значение параметра уведомления. Все значения при проверке подписи должны трактоваться как строки.

2) Вычислить HMAC-хэш c алгоритмом хэширования SHA256:

hash = HMAС(SHA256, secret_key, invoice_parameters) Где:

secret_key – ключ функции ;
invoice_parameters – строка из п.1;
3)Сравнить значение заголовка X-Api-Signature-SHA256 с результатом из п.2.

И пример кода:
<?php $validSignatureFromNotificationServer = '07e0ebb10916d97760c196034105d010607a6c6b7d72bfa1c3451448ac484a3b'; $notificationData = [ 'bill' => [ 'siteId' => 'test', 'billId' => 'test_bill', 'amount' => ['value' => 1, 'currency' => 'RUB'], 'status' => ['value' => 'PAID'] ], 'version' => '3' ]; $merchantSecret = 'test-merchant-secret-for-signature-check'; /** @var \Qiwi\Api\BillPayments $billPayments */ $billPayments->checkNotificationSignature( $validSignatureFromNotificationServer, $notificationData, $merchantSecret ); // true ?>

А по второму вопросу:
После того, как был получен входящий запрос-уведомление, необходимо проверить подлинность цифровой подписи и отправить ответ в формате JSON. В ответе должен вернуться код результата обработки уведомления. Код результата должен находиться в параметре error.

А как отправить ответ, если я не знаю откуда пришел запрос?
Написано более трёх лет назад
No Name @dmitriy91

r4gn4r0k, скорее всего имеется ввиду вернуть json на входящий запрос-уведомление. Те самим не нужно ничего отсылать отдельно

Написано более трёх лет назад
r4gn4r0k @r4gn4r0k Автор вопроса

No Name, Ага, понял. Ток не совсем.
Вернуть, значит вывести на экран?
Можно кусочек кода для примера, где возвращается JSON?

Написано более трёх лет назад

No Name @dmitriy91

// тут обрабатываете то, что пришло в запросе и валидируете хэш. 
$isValidSignature = $billPayments->(...) ;
$errorCode = 0;
if(! $isValidSignature) {
    $errorCode = 400; // тут нужно посмотреть в документации какие коды они принимают. Здесь для примера http bad request 
} 

echo json_encode([
    'error' => $errorCode
]) ;

Как-то так. Возможны очепятки, так как пишу с телефона.

Написано более трёх лет назад

No Name @dmitriy91

r4gn4r0k, помог пример?

Написано более трёх лет назад
r4gn4r0k @r4gn4r0k Автор вопроса

No Name, да, спасибо, помог! :)

Написано более трёх лет назад
Артемий Фамилий @APTEMOH

r4gn4r0k, так что за зверь validSignatureFromNotificationServer ? Первый параметр. Что туда отдавать?

Написано более трёх лет назад
BorisNaumov @BorisNaumov

r4gn4r0k, мил человек, так и где взял $merchantSecret? Сейчас тоже необходимо подключить клиенту, но эти жмурики из киви намеренно похоже не пишут, где брать этот $merchantSecret, это же не секретный ключ полученный при регистрации api...

Написано более трёх лет назад
BorisNaumov @BorisNaumov

Артемий Фамилий, если ещё актуально, эта сигнатура берётся из заголовка "x-api-signature-SHA256"

Написано более трёх лет назад
Артемий Фамилий @APTEMOH

BorisNaumov, уже нет разобрался, но спасибо! :)

Написано более трёх лет назад
BorisNaumov @BorisNaumov

Артемий Фамилий, всегда пожалуйста) Так а где брать этот $merchantSecret? Этот то, что выдаётся при регистрации API или какой-то другой?

Написано более трёх лет назад
Артемий Фамилий @APTEMOH

BorisNaumov, Да, это secret при регистрации API.

Написано более трёх лет назад
BorisNaumov @BorisNaumov

Артемий Фамилий, спасибо!) ох, руки бы оторвать тем, кто у них доки пишет вводя в заблуждение разными сущностями)

Написано более трёх лет назад

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Qiwi

Простой
Какие библиотеки для оплаты через QIWI сейчас актуальны для aiogram на Python?
- 1 подписчик
- 08 янв.
- 51 просмотр
0

ответов
WordPress

+2 ещё

Сложный
Возможно ли создать модуль оплаты qiwi без подключения по api, без генерации ключей?
- 1 подписчик
- 17 дек. 2023
- 50 просмотров
0

ответов
Node.js

+3 ещё

Простой
Как исправить ошибку при использовании @qiwi/bill-payments-node-js-sdk для выставления счёта?
- 1 подписчик
- 10 сент. 2023
- 121 просмотр
0

ответов
Python

+1 ещё

Простой
Как сделать, чтобы киви ключ принимался без ошибки «binascii.Error»?
- 1 подписчик
- 10 июн. 2023
- 61 просмотр
1

ответ
AIOgram

+1 ещё

Простой
Как отправлять в чат боте статус платежа?
- 1 подписчик
- 29 апр. 2023
- 60 просмотров
0

ответов
Qiwi

Простой
Как обновлять статус платежа?
- 1 подписчик
- 28 апр. 2023
- 65 просмотров
0

ответов
Qiwi

Простой
Как получить статус платежа через API ключ(qiwi кошелек)?
- 1 подписчик
- 27 апр. 2023
- 86 просмотров
0

ответов
Qiwi

Простой
Как получить историю платежей Qiwi по логину и паролю python?
- 1 подписчик
- более года назад
- 79 просмотров
0

ответов
Qiwi

Простой
Почему я не могу создать форму оплаты в PyEasyQiwi?
- 1 подписчик
- более года назад
- 130 просмотров
0

ответов
Python

+1 ещё

Простой
Ошибка 'latin-1' кодек не может обработать символы. Что мне делать?
- 1 подписчик
- более года назад
- 71 просмотр
1

ответ
Показать ещё Загружается…

Ведущий системный администратор

SOKOLOV

До 260 000 ₽

Senior Fullstack JavaScript Node.js + React

Simplenight inc.

от 4 000 до 6 500 $

Backend-разработчик (Middle-to-Senior)

Сима-ленд • Екатеринбург

До 300 000 ₽

Интеграция WordPress со Smartomato

25 апр. 2024, в 13:49

25000 руб./за проект

Нужен сертифицированный специалист Oracle Certified Associate Linux 5

25 апр. 2024, в 13:49

250000 руб./за проект

Сверстать 3 страницы для WebApp и 1 Web

25 апр. 2024, в 13:36

2000 руб./за проект

Что в документации по этому поводу пишут?
r4gn4r0k, скорее всего имеется ввиду вернуть json на входящий запрос-уведомление. Те самим не нужно ничего отсылать отдельно
No Name, Ага, понял. Ток не совсем.
Вернуть, значит вывести на экран?
Можно кусочек кода для примера, где возвращается JSON?
// тут обрабатываете то, что пришло в запросе и валидируете хэш. $isValidSignature = $billPayments->(...) ; $errorCode = 0; if(! $isValidSignature) { $errorCode = 400; // тут нужно посмотреть в документации какие коды они принимают. Здесь для примера http bad request } echo json_encode([ 'error' => $errorCode ]) ;

Как-то так. Возможны очепятки, так как пишу с телефона.
r4gn4r0k, так что за зверь validSignatureFromNotificationServer ? Первый параметр. Что туда отдавать?
r4gn4r0k, мил человек, так и где взял $merchantSecret? Сейчас тоже необходимо подключить клиенту, но эти жмурики из киви намеренно похоже не пишут, где брать этот $merchantSecret, это же не секретный ключ полученный при регистрации api...
Артемий Фамилий, если ещё актуально, эта сигнатура берётся из заголовка "x-api-signature-SHA256"
BorisNaumov, уже нет разобрался, но спасибо! :)
Артемий Фамилий, всегда пожалуйста) Так а где брать этот $merchantSecret? Этот то, что выдаётся при регистрации API или какой-то другой?
BorisNaumov, Да, это secret при регистрации API.
Артемий Фамилий, спасибо!) ох, руки бы оторвать тем, кто у них доки пишет вводя в заблуждение разными сущностями)

Как в QIWI API при помощи SDK проверить целостность хеша и ответить, что все правильно?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт