Verificar firmas de webhooks de pago

Cada webhook debe verificarse antes de acreditar saldo o entregar un pedido. BoltUtil firma el payload con su secreto.

Empiece a aceptar USDTLeer documentación API
Diseñado para
HMAC-SHA256
Diseñado para
Raw body
Diseñado para
Comparación segura
Patrón de verificación de firma
payload = raw_request_body
signature = HMAC_SHA256(payload, webhook_secret)

// Compare with the X-Bolt-Signature header by constant-time comparison.

Flujo de verificación

Use verificación de firma en todos los endpoints que reciben estados de pago.

  1. 01

    Lea el raw body exactamente como fue recibido.

  2. 02

    Calcule HMAC-SHA256 con el secreto.

  3. 03

    Compare con el header usando comparación constante.

  4. 04

    Actualice la orden solo si la firma es válida.

Liquidación no custodial

Los fondos llegan directamente a la billetera del comercio. BoltUtil solo monitorea la cadena y envía notificaciones.

Tres redes USDT

Integre TRC20, ERC20 y BEP20 con una sola API de órdenes y un payload de webhook unificado.

Automatización por webhook

Cuando el pago se detecta y confirma, su backend recibe una devolución firmada para activar, entregar o acreditar.

Notas de integración

Lo importante antes de producción

Raw body verification avoids JSON reformatting bugs

Do not rebuild the JSON object before signing. Even harmless whitespace or key-order changes can produce a different digest.

Constant-time comparison protects against timing leaks

Use language-native secure comparison helpers instead of normal string equality when comparing webhook signatures.

Signature checks are not a replacement for idempotency

A valid webhook proves source and integrity, but your business logic still needs to avoid duplicate fulfillment.

Preguntas antes de salir a producción

Estas respuestas ayudan a desarrolladores, fundadores y equipos de soporte a entender el ciclo de pago antes de aceptar USDT real.

¿BoltUtil custodia los fondos del comercio? +

No. BoltUtil funciona como una capa no custodial de monitoreo y notificación. El comercio configura su propia billetera de cobro.

¿Cómo se empareja un pago con una orden? +

El sistema valida red, dirección de destino, importe exacto en USDT, estado de la orden y ventana de expiración.

¿Qué redes USDT están soportadas? +

El enfoque actual de producción cubre TRC20, ERC20 y BEP20.

Recursos relacionados

/usdt-webhook

Webhooks USDT que su backend puede verificar

/docs/create-order

Crear una orden de pago USDT

/docs/webhook-resend

Recover failed payment webhooks

Lance un flujo de pago USDT más claro

Cree órdenes, monitoree transferencias y notifique a su backend sin pedir capturas de pago.

Crear cuenta gratis