Глоссарий FazerCards
Подпись webhook
HMAC-тег в заголовке webhook-запроса, по которому получатель проверяет, что вызов реально пришёл из FazerCards и тело не модифицировано в пути.
Каждый webhook FazerCards приходит с заголовком X-FazerCards-Signature — HMAC-SHA256 от сырого тела запроса с ключом secret webhook реселлера. Получатель пересчитывает HMAC и сравнивает через timing-safe сравнение. Если не совпадает — запрос отклоняется. Это защищает от того, что злоумышленник, знающий URL вашего webhook, будет слать поддельные order.completed события в ваш бот.
Главные факты
- Алгоритм: HMAC-SHA256.
- Проверяйте до любой бизнес-логики.
- Рецепт: /docs/cookbook#handle-webhooks.