验证支付 Webhook 签名

在给客户入账或履约前,每一个支付 Webhook 都应该被验证。BoltUtil 使用商户 Webhook 密钥对 payload 签名。

开始接收 USDT阅读 API 文档
适用于
HMAC-SHA256
适用于
原始 body 校验
适用于
恒定时间比较
签名验证模式
payload = raw_request_body
signature = HMAC_SHA256(payload, webhook_secret)

// Compare with the X-Bolt-Signature header by constant-time comparison.

验证流程

所有接收支付状态更新的 Webhook 端点都应该执行签名验证。

  1. 01

    读取完全未经修改的原始请求 body。

  2. 02

    使用 Webhook 密钥计算 HMAC-SHA256。

  3. 03

    用恒定时间比较与签名 header 对比。

  4. 04

    验证通过后再更新本地订单状态。

非托管结算

资金直接进入您配置的商户钱包。BoltUtil 只负责监听链上交易和发送通知,不接触也不托管用户资金。

三条 USDT 网络

通过同一套订单 API 和统一 Webhook,接入 TRC20、ERC20、BEP20 三条主流 USDT 网络。

Webhook 自动化

当链上交易被检测并确认后,您的系统会收到带签名的回调,可自动发货、开通会员或入账。

上线前商户常问的问题

这些回答帮助开发者、创始人和客服团队在接收真实 USDT 付款前理解完整支付生命周期。

BoltUtil 会托管商户资金吗? +

不会。BoltUtil 是非托管的链上监听与通知层,商户配置自己的收款钱包,资金直接到商户钱包。

BoltUtil 如何匹配一笔付款? +

系统会同时校验网络、收款地址、精确 USDT 金额、订单状态和订单有效期,然后才会更新订单。

目前支持哪些 USDT 网络? +

当前生产重点支持 TRC20、ERC20 和 BEP20。

相关资源

/usdt-webhook

让后端可以信任的 USDT 支付 Webhook

/docs/create-order

创建 USDT 支付订单

/docs/webhook-resend

恢复失败的支付 Webhook

上线更清晰的 USDT 收款流程

创建订单、监听转账并通知您的后端,不再要求客户发送付款截图。

创建免费账户