API-интеграции требуют не только контроля доступа, но и гарантии подлинности и целостности каждого запроса. Для этого мы поддерживаем HMAC-подписи (Hash-based Message Authentication Code), а также шифрование тела и параметров запросов, обеспечивая защиту данных даже при передаче через открытые сети.
С помощью HMAC каждая сторона (клиент и сервер) подтверждает, что запрос был создан авторизованной стороной, не был изменен по пути и имеет зашифрованное содержимое.
Что реализовано
| Механизм | Назначение и преимущества |
|---|---|
| HMAC-подписи | Подпись каждого запроса с использованием секретного ключа |
| Контроль целостности | Проверка, что содержимое не было изменено во время передачи |
| Шифрование тела запроса | Использование AES или RSA для защиты конфиденциальных данных |
| Подпись с timestamp'ом | Защита от повторных и отложенных атак (replay attack) |
| Подпись параметров запроса | Валидация query string и payload через хеш-функцию |
Как это работает
1.Клиент формирует тело запроса и добавляет timestamp
2.Вычисляется HMAC (например, SHA256) на основе секрета и содержимого
3.Подпись добавляется в заголовок (например, `X-Signature`)
4.Сервер проверяет подпись, таймштамп и допустимый IP
5.Если подпись совпадает — запрос выполняется, иначе отклоняется
Преимущества для API-интеграций
Защита от подмены или искажения запроса
Возможность безопасного взаимодействия без TLS (в закрытых сетях)
Повышение доверия к каналу передачи данных
Независимость от конкретной платформы или языка
Гибкая реализация для разных типов клиентов: кассы, шлюзы, провайдеры
Где особенно важно
Интеграции с платежными, кассовыми или фискальными системами
API, работающие в мультиарендной или партнерской среде
Системы с повышенными требованиями к верификации запросов
Взаимодействие между внутренними сервисами без постоянной авторизации
HMAC-подпись и шифрование — это ваш API-замок от подделки и вмешательства. Такие механизмы позволяют строить надежную интеграцию даже в условиях повышенных требований к безопасности.