Introduction

Cette section détaille comment intégrer le mécanisme optionnel de signature de la charge utile afin d’assurer l’intégrité et l’authenticité des requêtes API.

Prérequis

Avant d’utiliser la fonctionnalité de signature de la charge utile, les étapes suivantes doivent être complétées :

  1. Générer des Clés Cryptographiques : Une paire de clés publique et privée unique doit être générée en utilisant un algorithme cryptographique sécurisé (par exemple, RSA, ECDSA). La clé privée sera utilisée pour signer le corps de la requête, et la clé publique correspondante sera utilisée par le système pour vérifier la signature.
  2. Télécharger la Clé Publique : La clé publique générée doit être téléchargée de manière sécurisée dans les préférences du marchand sur le tableau de bord. Cela permet au système d’associer la clé publique au compte pour la vérification de la signature. Une assistance pour cette étape peut être sollicitée auprès de l’équipe de support si nécessaire.

Intégration dans l’Environnement Sandbox

Durant le développement et les tests dans l’environnement sandbox, l’implémentation de la signature de la charge utile peut commencer :

  1. Construire l’Entête X-Signature : Pour chaque requête API effectuée avec le paramètre mode=sandbox, un entête X-Signature peut être inclus dans la requête.
  2. Générer la Signature : La valeur de l’entête X-Signature doit être la signature cryptographique du corps de la requête JSON, générée en utilisant la clé privée. Le processus de signature spécifique dépendra de l’algorithme cryptographique choisi.
  3. Vérification de la Signature (Sandbox) : Lorsqu’une requête avec le paramètre mode=sandbox inclut l’entête X-Signature, le système tentera de vérifier la signature en utilisant la clé publique associée au compte.
  • Si la signature est valide, la requête sera traitée normalement.
  • Si la signature est invalide ou mal formée, l’API retournera une erreur indiquant un échec de la vérification de la signature.
  • Note : Si l’entête X-Signature n’est pas présent dans les requêtes en mode sandbox, il sera ignoré, et la requête se déroulera sans vérification de la signature.

Application dans l’Environnement Live

Pour appliquer la vérification de la signature de la charge utile pour les transactions en direct (mode=live), une étape supplémentaire est nécessaire :

  • Activer “Forcer la Signature” sur le Tableau de Bord : Dans le tableau de bord marchand, l’option “forcer le trafic à utiliser la signature” peut être activée en cochant la case correspondante.
  • Vérification de la Signature (Live) : Une fois cette option activée :
    • Toutes les requêtes API ultérieures avec mode=live doivent inclure un entête X-Signature valide.
    • Si une requête en mode live est manquante de l’entête X-Signature ou contient une signature invalide, l’API retournera une erreur indiquant un échec de la vérification de la signature.
    • Note : Avant d’activer cette option dans l’environnement de production, il est impératif de s’assurer que la génération et la gestion des signatures sont correctement implémentées et rigoureusement testées dans l’environnement sandbox.

En suivant ces étapes, la fonctionnalité de signature de la charge utile peut être intégrée et utilisée efficacement pour renforcer la sécurité des transactions. La gestion sécurisée de la clé privée et la mise à jour régulière de la clé publique dans le tableau de bord sont essentielles.