Verificar assinaturas de webhooks de pagamento

Todo webhook deve ser verificado antes de creditar saldo ou cumprir uma ordem. A BoltUtil assina o payload com seu segredo.

Comece a aceitar USDTLer documentação da API
Criado para
HMAC-SHA256
Criado para
Raw body
Criado para
Comparação segura
Padrão de verificação de assinatura
payload = raw_request_body
signature = HMAC_SHA256(payload, webhook_secret)

// Compare with the X-Bolt-Signature header by constant-time comparison.

Fluxo de verificação

Use verificação de assinatura em todos os endpoints que recebem atualizações de pagamento.

  1. 01

    Leia o raw body exatamente como recebido.

  2. 02

    Calcule HMAC-SHA256 com o segredo.

  3. 03

    Compare com o header usando comparação constante.

  4. 04

    Atualize a ordem somente se a assinatura for válida.

Liquidação não custodial

Os fundos vão direto para a carteira do comerciante. A BoltUtil monitora a blockchain e envia notificações.

Três redes USDT

Aceite TRC20, ERC20 e BEP20 com uma única API de pedidos e payload de webhook unificado.

Automação por webhook

Quando o pagamento é detectado e confirmado, seu backend recebe uma chamada assinada para cumprir o pedido.

Notas de integração

O que importa antes da produção

Raw body verification avoids JSON reformatting bugs

Do not rebuild the JSON object before signing. Even harmless whitespace or key-order changes can produce a different digest.

Constant-time comparison protects against timing leaks

Use language-native secure comparison helpers instead of normal string equality when comparing webhook signatures.

Signature checks are not a replacement for idempotency

A valid webhook proves source and integrity, but your business logic still needs to avoid duplicate fulfillment.

Perguntas antes de ir para produção

Estas respostas ajudam desenvolvedores, fundadores e equipes de suporte a entender o ciclo de pagamento antes de aceitar USDT real.

A BoltUtil custodia fundos do comerciante? +

Não. A BoltUtil é uma camada não custodial de monitoramento e notificação. O comerciante usa sua própria carteira.

Como a BoltUtil vincula um pagamento a uma ordem? +

O sistema valida rede, endereço de destino, valor exato em USDT, status da ordem e janela de expiração.

Quais redes USDT são suportadas? +

O foco atual em produção é TRC20, ERC20 e BEP20.

Recursos relacionados

/usdt-webhook

Webhooks USDT que seu backend pode verificar

/docs/create-order

Criar uma ordem de pagamento USDT

/docs/webhook-resend

Recover failed payment webhooks

Lance um fluxo de pagamento USDT mais limpo

Crie ordens, monitore transferências e notifique seu backend sem pedir comprovantes manuais.

Criar conta grátis