Аутентификация и подпись запросов (HMAC)

В этом разделе описано, как выполнять аутентификацию запросов к HighHelp API с использованием алгоритма HMAC-SHA512 и как формировать цифровую подпись.

Назначение подписи

Подпись запроса используется для:

  • аутентификации запроса (подтверждение владения ключом);

  • контроля целостности JSON-тела запроса.

Регистрация в системе

Регистрацию выполняйте через личный кабинет мерчанта. Доступ в личный кабинет предоставляет специалист HighHelp.

  1. Создайте кассу во вкладке Кассы.

  2. Обратитесь к прикрепленному специалисту HighHelp для настройки кассы и проведения верификации.

Смена алгоритма подписи с RSA на HMAC

Переключение RSA на HMAC применяется только к подписи оповещений.

Для подписи запросов можно использовать RSA-ключ или HMAC-ключ из набора API-ключей. Алгоритм выбирается заголовком x-access-merchant-algorithm.

Порядок переключения и изменения в интерфейсе описаны в разделе Подпись оповещений (HMAC): смена алгоритма.

Генерация и обновление HMAC-ключа

HMAC-ключ для подписи запросов формируется при генерации набора API-ключей и выгружается в файл hmac_private_key_<id>.txt.

HMAC-ключ доступен для скачивания только в момент генерации.

Ключ выгружается в файл и не хранится на стороне HighHelp в открытом виде.

Генерация HMAC-ключа

Чтобы получить HMAC-ключ для подписи запросов:

  1. Откройте личный кабинет мерчанта.

  2. Перейдите во вкладку API.

  3. Найдите нужную кассу и нажмите на иконку шестерёнки.

  4. В открывшемся окне нажмите кнопку Обновить API ключи.

  5. Нажмите и удерживайте кнопку Сгенерировать ключ до завершения генерации.

  6. Скачайте файл hmac_private_key_<id>.txt.

  7. Передайте ключ команде разработки и обеспечьте защищенное хранение.

Не храните секретный HMAC-ключ в открытом виде в репозиториях, логах и системах мониторинга. Используйте специализированные хранилища секретов и ограничивайте доступ к нему по принципу наименьших привилегий.

Обновление HMAC-ключа

Обновление выполняется той же операцией, что и генерация, и перевыпускает весь набор ключей для подписи запросов.

После обновления API-ключей старые ключи перестанут работать немедленно.

Кнопка Обновить API ключи обновляет только ключи для подписи запросов и не влияет на ключи для подписи оповещений.

Описание ключей и алгоритма подписи оповещений приведено в разделе Подпись оповещений (HMAC).

Аутентификация в API

Для HMAC-аутентификации запросов используйте следующие HTTP-заголовки:

  • x-access-timestamp

  • x-access-merchant-id

  • x-access-merchant-algorithm

  • x-access-signature

  • x-access-token

Алгоритм подписи (схематично):

x-access-merchant-algorithm = "HMAC-SHA512"
message = base64url(normalized_payload) + str(timestamp)
x-access-signature = base64url(HMAC_SHA512(secret_key, message))

Где:

  • normalized_payload — нормализованное представление JSON-тела запроса;

  • timestamp — значение заголовка x-access-timestamp в виде строки;

  • secret_key — секретный HMAC-ключ кассы (строка).

Если тело запроса отсутствует, используйте пустой объект {} и нормализуйте его как обычный JSON.

Заголовок x-access-timestamp

x-access-timestamp содержит время формирования запроса в формате Unix timestamp (количество секунд с 01.01.1970 00:00:00 UTC), указанное строкой.

Пример:

x-access-timestamp: 1716299720

Используйте время сервера, синхронизированное по NTP. Не используйте локальное время клиента браузера или мобильного приложения.

Заголовок x-access-merchant-id

x-access-merchant-id содержит идентификатор кассы. Используйте значение UUID, полученное при генерации ключей для кассы.

В примерах кода идентификатор передается через переменную project_id.

Пример:

x-access-merchant-id: 57aff4db-b45d-42bf-bc5f-b7a499a01782

Заголовок x-access-merchant-algorithm

x-access-merchant-algorithm определяет алгоритм подписи, используемый для данного запроса.

Для HMAC используйте значение:

x-access-merchant-algorithm: HMAC-SHA512

Для HMAC-подписи всегда указывайте x-access-merchant-algorithm: HMAC-SHA512. При отсутствии заголовка или при неверном значении запрос будет отклонен.

Заголовок x-access-token

x-access-token содержит маску секретного HMAC-ключа. Маска используется для идентификации ключа без раскрытия полного секрета.

Маску сформируйте по правилу:

<первые 3 символа ключа> + 7 астерисков (*) + <последние 3 символа ключа>

Пример функции формирования маски:

def masked_hmac_key(key: str, start_inx: int = 3, end_inx: int = 3) -> str:
    if not key or len(key) <= start_inx + end_inx:
        return "*******"
    return key[:start_inx] + "*******" + key[-end_inx:]

Пример значения заголовка:

x-access-token: abc*******xyz

Для HMAC-аутентификации заголовок x-access-token обязателен. При отсутствии заголовка запрос будет отклонен.

Не передавайте полный секретный HMAC-ключ в заголовках, теле запроса или URL. Используйте только маску в x-access-token.

Заголовок x-access-signature

x-access-signature содержит цифровую подпись запроса. Подпись формируется по алгоритму HMAC-SHA512.

Формат (схематично):

message = base64url(normalized_payload) + str(timestamp)
signature_bytes = HMAC_SHA512(secret_key, message)
x-access-signature = base64url(signature_bytes)

Порядок формирования подписи:

  1. Нормализуйте тело запроса в строку normalized_payload с помощью алгоритма нормализации.

  2. Закодируйте строку normalized_payload в Base64Url, получите строку encoded_payload.

  3. Сконкатенируйте encoded_payload и timestamp (значение заголовка x-access-timestamp), получите строку message.

  4. Вычислите HMAC-SHA512 от message с использованием секретного HMAC-ключа.

  5. Закодируйте результат в Base64Url.

  6. Передайте полученное значение в заголовке x-access-signature.

Нормализация тела запроса

Для формирования подписи используется нормализованное представление JSON-тела запроса.

Алгоритм нормализации:

  1. Выполните рекурсивный обход JSON-структуры (объекты и массивы).

  2. Соберите пары в формате путь:значение, где путь строится через двоеточие:

    • для объектов: parent:ключ;

    • для массивов: parent:индекс.

  3. Преобразуйте булевы значения: true в 1, false в 0.

  4. Используйте стандартное строковое представление чисел без локализации. Не добавляйте незначащие нули.

  5. Отсортируйте все пары по алфавиту.

  6. Склейте пары в одну строку, разделяя их символом ;.

Пример исходного JSON:

{
  "amount": 100,
  "status": "success",
  "is_paid": true,
  "data": {
    "id": 123,
    "is_active": false
  }
}

Результат нормализации:

amount:100;data:id:123;data:is_active:0;is_paid:1;status:success

Пример реализации нормализации (Python3)

def parse_json(prefix, obj, result):
    """
    Рекурсивный обход JSON-структуры для формирования пар путь:значение.
    """
    if isinstance(obj, dict):
        for key, value in obj.items():
            if isinstance(key, bool):
                key = int(key)
            new_prefix = f"{prefix}:{key}" if prefix else str(key)
            parse_json(new_prefix, value, result)
    elif isinstance(obj, list):
        for index, item in enumerate(obj):
            if isinstance(item, bool):
                item = int(item)
            new_prefix = f"{prefix}:{index}"
            parse_json(new_prefix, item, result)
    else:
        if isinstance(obj, bool):
            obj = int(obj)
        if obj is None:
            obj = ""
        result.append(f"{prefix}:{obj}")


def normalize_message(payload: dict) -> str:
    """
    Нормализация JSON в детерминированную строку (формат: путь:значение через ;).
    """
    items: list[str] = []
    parse_json("", payload, items)
    items.sort()
    return ";".join(items)

Если тело запроса отсутствует, используйте пустой объект {} (например, payload = {}) и нормализуйте его как обычный JSON.

Требования к нормализации

При реализации алгоритма нормализации учитывайте следующие требования:

  • Булевы значения: преобразуются в целочисленное представление (true1, false0).

  • Значения null: преобразуются в пустую строку "".

  • Числа: используйте стандартное строковое представление без локализации (разделителей групп разрядов, локальных форматов). Не добавляйте незначащие нули.

  • Массивы: порядок элементов сохраняется в исходной последовательности. Индексы элементов добавляются к пути как :0, :1, :2, …​

  • Объекты: после формирования всех пар путь:значение выполняется сортировка по алфавиту по полной строке.

  • Кодировка символов: используйте UTF-8 для кодирования перед применением Base64Url. Не изменяйте регистр символов.

  • Base64Url: кодируйте строку в формате Base64Url (RFC 4648): замените + на -, / на _; символы выравнивания = не удаляйте.

  • Пробелы и форматирование: не добавляйте и не удаляйте пробелы в значениях. Используйте точные значения из JSON-структуры.

Алгоритм формирования подписи

  1. Сформируйте объект payload с телом запроса.

  2. Нормализуйте payload функцией normalize_message():

    joined_result = normalize_message(payload)

  3. Закодируйте нормализованную строку в Base64Url и добавьте метку времени:

    timestamp = int(time.time())
message = "{}{}".format(
    base64.urlsafe_b64encode(joined_result.encode()).decode("utf-8"),
    str(timestamp),
).encode("utf-8")

  4. Вычислите HMAC-SHA512 от UTF-8 байт message с использованием секретного HMAC-ключа.

  5. Закодируйте результат в Base64Url.

  6. Передайте полученное значение в заголовке x-access-signature.

Пример запроса с HMAC-подписью (Python3)

Ниже приведен пример формирования подписи HMAC-SHA512 и отправки запроса к API.

import base64
import json
import time
import hmac
import hashlib
import requests

url = "https://api.hh-processing.com/api/v1/payment/p2p/payin"

# Идентификатор кассы (UUID)
project_id = "57aff4db-b45d-42bf-bc5f-b7a499a01782"

# Секретный HMAC-ключ (строка)
secret_key = "<YOUR-HMAC-SECRET-KEY>"

payload = {
    "general": {
        "project_id": project_id
    }
}


def parse_json(prefix, obj, result):
    if isinstance(obj, dict):
        for key, value in obj.items():
            if isinstance(key, bool):
                key = int(key)
            new_prefix = f"{prefix}:{key}" if prefix else str(key)
            parse_json(new_prefix, value, result)
    elif isinstance(obj, list):
        for index, item in enumerate(obj):
            if isinstance(item, bool):
                item = int(item)
            new_prefix = f"{prefix}:{index}"
            parse_json(new_prefix, item, result)
    else:
        if isinstance(obj, bool):
            obj = int(obj)
        if obj is None:
            obj = ""
        result.append(f"{prefix}:{obj}")


def normalize_message(data: dict) -> str:
    items = []
    parse_json("", data, items)
    items.sort()
    return ";".join(items)


def masked_hmac_key(key: str, start_inx: int = 3, end_inx: int = 3) -> str:
    """
    Маскирование HMAC-ключа для безопасного логирования.
    """
    if not key or len(key) <= start_inx + end_inx:
        return "*******"
    return key[:start_inx] + "*******" + key[-end_inx:]


# Нормализация тела запроса
normalized = normalize_message(payload)

# Кодирование в Base64Url
encoded = base64.urlsafe_b64encode(normalized.encode("utf-8")).decode("utf-8")

# Метка времени Unix (секунды)
timestamp = int(time.time())

# Формирование сообщения для подписи
message = f"{encoded}{timestamp}".encode("utf-8")

# Вычисление HMAC-SHA512
signature_bytes = hmac.new(secret_key.encode("utf-8"), message, hashlib.sha512).digest()
signature_b64url = base64.urlsafe_b64encode(signature_bytes).decode("utf-8")

# Маска HMAC-ключа для x-access-token
hmac_mask = masked_hmac_key(secret_key)

# Формирование заголовков
headers = {
    "content-type": "application/json",
    "x-access-merchant-id": project_id,
    "x-access-timestamp": str(timestamp),
    "x-access-signature": signature_b64url,
    "x-access-merchant-algorithm": "HMAC-SHA512",
    "x-access-token": hmac_mask,
}

# Сериализация тела запроса (JSON)
dumped = json.dumps(payload, separators=(",", ":")) if payload else "{}"

response = requests.post(url, headers=headers, data=dumped)
print(response.status_code)

Рекомендации по безопасности

  • Храните секретный HMAC-ключ на стороне сервера.

  • Обновляйте ключи по запросу через специалиста HighHelp.

  • Не передавайте ключи по незащищенным каналам.

  • Не логируйте ключ полностью. Маскируйте значение: первые 3 символа + 7 астерисков (*) + последние 3 символа.

    Пример маскирования ключа 
    def masked_hmac_key(key: str) -> str:
    if not key or len(key) <= 6:
        return "*******"
    return key[:3] + "*******" + key[-3:]

Форма для проверки подписи

Используйте форму ниже для проверки корректности формирования подписи HMAC-SHA512 для запросов к API HighHelp.

Обработка введенных данных выполняется локально в браузере; данные не передаются на сервер.

Выполнение проверки

  1. Вставьте JSON-тело в первое поле.

  2. Введите секретный ключ.

  3. Укажите временную метку в формате Unix timestamp.

  4. Вставьте подпись, которую необходимо проверить.

  5. Нажмите кнопку Проверить подпись.

Форма отобразит пошаговый процесс формирования подписи и результат проверки предоставленной подписи.

Пример тестовых данных

Для проверки подписи можно использовать следующие тестовые данные:

JSON-тело:

{"general":{"project_id":"test-project-123"},"payment":{"amount":100000,"currency":"USD"}}

Secret key: test-secret-key-123

Timestamp: 1716299720

Полученная подпись: signature-to-verify

После нажатия на кнопку Проверить подпись форма отобразит:

  1. Нормализованное представление данных.

  2. base64url(normalized).

  3. message = base64url(normalized) + timestamp.

  4. Вычисленную подпись (x-access-signature).

  5. Результат сравнения подписи.