Как в QIWI API при помощи SDK проверить целостность хеша и ответить, что все правильно?

Question

[r4gn4r0k]

Приветствую! Я могу формировать заявку при помощи QIWI PHP SDK, но мне помимо этого еще нужно проверять, что платеж оплачен, делать соответствующие действия, затем отправлять сервису сообщение о том, что проверка прошла успешно.
Для этого я создал файл good.php, в настройках API указал, что POST-запрос будет приходить на него. В нем написал код, чтобы он брал данные из заголовка X-Api-Signature-SHA256, затем брал массив данных (в формате JSON), которые приходят в теле запроса, перекодировал их в обычный PHP-массив.
Провел проверку и все данные выводятся успешно. Но непонятно как работает функция checkNotificationSignature, какие параметры ей задавать.
Первый параметр - $signature. Его я беру из заголовка X-Api-Signature-SHA256
Второй параметр - $notificationBody. Его я беру из массива данных
Третий параметр - $merchantSecret. А вот его я хз откуда брать. Это секретный ключ, из пары ключей, которое выдает QIWI или что?

Далее функция возвращает true или false. На основании ее ответа мне надо обратно отправить JSON массив. Вопрос: как мне при помощи CURL отправить его обратно, если я не знаю откуда конкретно он пришел?

Comments

[Алексей Ярков]

Что в документации по этому поводу пишут?

[r4gn4r0k]

Алексей Ярков, По 1му вопросу:

Подпись уведомления отправляется в заголовке X-Api-Signature-SHA256. Для формирования подписи используется механизм проверки целостности HMAC с хэш-функцией SHA256.

Алгоритм проверки подписи:

1) Объединить значения параметров в одну строку с разделителем |:

invoice_parameters = {amount.currency}|{amount.value}|{billId}|{siteId}|{status.value}

где {*} – значение параметра уведомления. Все значения при проверке подписи должны трактоваться как строки.

2) Вычислить HMAC-хэш c алгоритмом хэширования SHA256:

hash = HMAС(SHA256, secret_key, invoice_parameters) Где:

secret_key – ключ функции ;
invoice_parameters – строка из п.1;
3)Сравнить значение заголовка X-Api-Signature-SHA256 с результатом из п.2.

И пример кода:

<?php

$validSignatureFromNotificationServer = '07e0ebb10916d97760c196034105d010607a6c6b7d72bfa1c3451448ac484a3b';
$notificationData = [
  'bill' => [
    'siteId' => 'test',
    'billId' => 'test_bill',
    'amount' => ['value' => 1, 'currency' => 'RUB'],
    'status' => ['value' => 'PAID']
  ],
  'version' => '3'
];
$merchantSecret = 'test-merchant-secret-for-signature-check';

/** @var \Qiwi\Api\BillPayments $billPayments */
$billPayments->checkNotificationSignature(
  $validSignatureFromNotificationServer, $notificationData, $merchantSecret
); // true

?>

А по второму вопросу:

После того, как был получен входящий запрос-уведомление, необходимо проверить подлинность цифровой подписи и отправить ответ в формате JSON. В ответе должен вернуться код результата обработки уведомления. Код результата должен находиться в параметре error.

А как отправить ответ, если я не знаю откуда пришел запрос?

[No Name]

r4gn4r0k, скорее всего имеется ввиду вернуть json на входящий запрос-уведомление. Те самим не нужно ничего отсылать отдельно

[r4gn4r0k]

No Name, Ага, понял. Ток не совсем.
Вернуть, значит вывести на экран?
Можно кусочек кода для примера, где возвращается JSON?

[No Name]

// тут обрабатываете то, что пришло в запросе и валидируете хэш. 
$isValidSignature = $billPayments->(...) ;
$errorCode = 0;
if(! $isValidSignature) {
    $errorCode = 400; // тут нужно посмотреть в документации какие коды они принимают. Здесь для примера http bad request 
} 

echo json_encode([
    'error' => $errorCode
]) ;

Как-то так. Возможны очепятки, так как пишу с телефона.

[No Name]

r4gn4r0k, помог пример?

[r4gn4r0k]

No Name, да, спасибо, помог! :)

[Артемий Фамилий]

r4gn4r0k, так что за зверь validSignatureFromNotificationServer ? Первый параметр. Что туда отдавать?

[BorisNaumov]

r4gn4r0k, мил человек, так и где взял $merchantSecret? Сейчас тоже необходимо подключить клиенту, но эти жмурики из киви намеренно похоже не пишут, где брать этот $merchantSecret, это же не секретный ключ полученный при регистрации api...

[BorisNaumov]

Артемий Фамилий, если ещё актуально, эта сигнатура берётся из заголовка "x-api-signature-SHA256"

[Артемий Фамилий]

BorisNaumov, уже нет разобрался, но спасибо! :)

[BorisNaumov]

Артемий Фамилий, всегда пожалуйста) Так а где брать этот $merchantSecret? Этот то, что выдаётся при регистрации API или какой-то другой?

[Артемий Фамилий]

BorisNaumov, Да, это secret при регистрации API.

[BorisNaumov]

Артемий Фамилий, спасибо!) ох, руки бы оторвать тем, кто у них доки пишет вводя в заблуждение разными сущностями)