Автентифікація
Кожен запит до Tranzzo API повинен бути автентифікований. Автентифікація відбувається із використанням HTTP-хедерів та таких змінних (variables):
$ curl "https://cpay.tranzzo.com/api/v1/pos/${POS_ID}/orders/0" \
-H "X-API-AUTH: CPAY ${API_KEY}:${API_SECRET}" \
-H "X-API-KEY: ${ENDPOINTS_KEY}"
Тут і далі всі змінні повінні мати такий формат: ${VARIABLE_NAME}
Використовуйте ці хедери у всіх API-запитах до сервера, що включає як GET
, так і POST
запити.
Зверніть увагу, що значення хедерів є чутливими до регістру, а назви хедерів — ні.
Якщо дані про ці хедери відсутні у запиті або є некоректними, в такому випадку буде повернена відповідь:
{
"args": {
"code": "S-404"
},
"message": "Invalid pos_id field or credentials"
}
Важливо
Автентифікаційні дані є конфіденційними. Будь ласка, дотримуйтесь цих рекомендацій при роботі з ними:
- Не передавайте їх особам, які не задіяні в процедурі інтеграції.
- Переконайтесь, що вони зберігаються надійним чином та із застосуванням інструментів шифрування, як-то систем управління автентифікаційними даними.
- Ніколи прямо не фіксуйте їх у вихідному коді (hardcode) та не комітьте їх до систем контролю версійності. Проводьте навчання команди з питань важливості безпечного збереження автентифікаційних даних та впроваджуйте обовʼякові політики захисту конфіденційної інформації.
- Регулярно оновлюйте автентифікаційні дані та переглядайте права доступу з метою запобігання несанкційованого доступу. У розділі Команда мерчант-порталу ви можете знайти інформацію про ролі, які надають доступ користувачам до роботи з автентифікаційними даними проєктів.
- Здійснюйте постійний моніторинг використання автентифікаційних даних для своєчасного виявлення несанкційованого доступу або підозрілої активності. Якщо автентифікаційні дані було скомпрометовано, дотримуйтесь плану дій на випадок подібних інцидентів, негайно видаляючи та замінюючи їх новими. В таких випадках рекомендуємо одразу повідомляти команду підтримки Tranzzo для надання допомоги в оновленні автентифікаційних даних.