Signature HMAC

Si un webhook est signé avec HMAC-SHA256, la signature doit être envoyée via l'en-tête HTTP. Vous pouvez configurer le nom de l'en-tête.

Les formats suivants sont pris en charge :

Signature en tant que chaîne codée en hexadécimal

Copier 
X-Signature: 4643978965ffcec6e6d73b36a39ae43ceb15f7ef8131b8307862ebc560e7f988
Copier 
X-Signature: v1=4643978965ffcec6e6d73b36a39ae43ceb15f7ef8131b8307862ebc560e7f988

Dans le second exemple de code, « v1 » correspond au nom de la clé. Vous pouvez toutefois le modifier.

Signature en tant que chaîne codée en base64

Copier 
X-Signature: BourgoxXQMpz6EBBm8AC12IeK+axMUIjFYkT5T8lt38=

Signature et horodatage dans des en-têtes distincts

Signature

Copier 
X-Signature: <hex-encoded or base64>

Horodatage

L'horodatage ne doit être spécifié que s'il est utilisé dans le hachage HMAC-SHA256 du webhook.

Copier 
X-Timestamp: 1772201257

  • L'horodatage doit être au format Unix, qui indique le nombre de secondes écoulées depuis le 1er janvier 1970.

  • La valeur HMAC est calculée comme suit :

    {timestamp}.{payload}

    Vous ne pouvez pas configurer le séparateur entre {timestamp} et {payload} (« . »).

Signature et horodatage dans un même en-tête

Exemple 1

Copier 
X-Signature: t=1772201257,v1=750d48166fc4c314a5a3c9bf825677fd582ec3e7291e9b8666c5e0fae8acb781

Exemple 2

Copier 
X-Signature: t=1772201257,sha256=750d48166fc4c314a5a3c9bf825677fd582ec3e7291e9b8666c5e0fae8acb781

Choisissez les noms de clés de votre choix (dans cet exemple : « v1 », « t », « sha256 »).

  • Dans ce formulaire, un hachage codé en base64 n'est pas pris en charge.

  • L'horodatage doit être au format Unix.

  • Lorsque vous utilisez ce formulaire, veillez à ce que le champ « En-tête d'horodatage » reste vide dans la configuration du webhook.