Xác minh chữ ký webhook thanh toán

Mỗi webhook cần được xác minh trước khi cộng số dư hoặc xử lý đơn. BoltUtil ký payload bằng webhook secret của bạn.

Mẫu xác minh chữ ký

payload = raw_request_body
signature = HMAC_SHA256(payload, webhook_secret)

// Compare with the X-Bolt-Signature header by constant-time comparison.

Luồng xác minh

Dùng xác minh chữ ký cho mọi endpoint nhận cập nhật trạng thái thanh toán.

Tiền vào thẳng ví của merchant. BoltUtil chỉ giám sát blockchain và gửi thông báo.

Nhận USDT trên TRC20, ERC20 và BEP20 bằng một API tạo đơn và một webhook payload thống nhất.

Khi khoản thanh toán được phát hiện và xác nhận, backend của bạn nhận callback có chữ ký để xử lý đơn.

Ghi chú tích hợp

Do not rebuild the JSON object before signing. Even harmless whitespace or key-order changes can produce a different digest.

Use language-native secure comparison helpers instead of normal string equality when comparing webhook signatures.

A valid webhook proves source and integrity, but your business logic still needs to avoid duplicate fulfillment.

Các câu trả lời này giúp developer, founder và đội support hiểu vòng đời thanh toán trước khi nhận USDT thật.

BoltUtil có giữ tiền của merchant không? +

Không. BoltUtil là lớp giám sát và thông báo không lưu ký. Merchant cấu hình ví nhận tiền của riêng mình.

BoltUtil đối chiếu thanh toán như thế nào? +

Hệ thống kiểm tra mạng, địa chỉ nhận, số USDT chính xác, trạng thái đơn và thời gian hết hạn.

Hiện hỗ trợ những mạng USDT nào? +

Trọng tâm sản xuất hiện tại là TRC20, ERC20 và BEP20.

Tạo đơn, giám sát chuyển khoản và thông báo backend mà không cần yêu cầu khách gửi ảnh chụp thanh toán.