Firmas HMAC y cifrado de solicitudes
Con HMAC, cada parte (cliente y servidor) confirma que la solicitud fue creada por una parte autorizada, no fue modificada a lo largo de la ruta y tiene contenido cifrado.
Qué se ha implementado
| Mecanismo | Propósito y beneficios |
|---|---|
| firmas HMAC | Firma de cada solicitud utilizando una clave secreta |
| Control de integridad | Comprueba que el contenido no se ha modificado durante la transmisión |
| Cifrado del cuerpo de la solicitud | Uso de AES o RSA para proteger los datos confidenciales |
| Firma con timestamp's | Protección contra ataques repetidos y retrasados (replay attack) |
| Firma de los parámetros de la consulta | Validación de la cadena de query y payload a través de la función hash |
Cómo funciona
1. El cliente forma el cuerpo de la consulta y agrega timestamp
2. Calculado por HMAC (por ejemplo, SHA256) basado en el secreto y el contenido
3. La firma se agrega al título (por ejemplo, 'X-Signature')
4. El servidor comprueba la firma, el tiempo de espera y la IP válida
5. Si la firma coincide - la solicitud se ejecuta, de lo contrario se rechaza
Beneficios para las integraciones de API
Protección contra la sustitución o distorsión de la solicitud
Posibilidad de interacción segura sin TLS (en redes cerradas)
Aumentar la confianza en el canal de datos
Independencia de una plataforma o idioma en particular
Implementación flexible para diferentes tipos de clientes: taquillas, puertas de enlace, proveedores
Donde es especialmente importante
Integraciones con sistemas de pago, de caja o fiscales
APIs que se ejecutan en un entorno multiarrendamiento o partner
Sistemas con requisitos de verificación de solicitudes mejorados
Interacción entre servicios internos sin autorización permanente
La firma y cifrado HMAC es su bloqueo API de la falsificación y la interferencia. Estos mecanismos permiten una integración sólida, incluso en contextos de mayor exigencia de seguridad.
Contactar con nosotros
Rellena el siguiente formulario y te responderemos lo antes posible.