Аутентификация и подпись запросов (RSA)

В этом разделе описана аутентификация запросов к HighHelp API с использованием алгоритма RSA-SHA256 и формат HTTP-заголовков, которые необходимо передавать в каждом запросе.

Используется асимметричная криптография: приватный ключ хранится на стороне мерчанта и применяется для подписи запросов, публичный ключ хранится на стороне HighHelp и используется для проверки подписи.

RSA-SHA256 является алгоритмом подписи по умолчанию для всех новых касс. При создании кассы автоматически генерируется пара RSA-ключей.

Регистрация в системе

Регистрацию и генерацию API-ключей выполняйте через личный кабинет мерчанта. Доступ в личный кабинет предоставляет специалист HighHelp.

При генерации ключей для кассы одновременно создаются:

  • пара RSA-ключей (публичный и приватный);

  • секретный HMAC-ключ.

Порядок действий:

  1. Создайте кассу во вкладке Кассы.

  2. Обратитесь к прикрепленному специалисту HighHelp для настройки кассы и проведения верификации.

  3. После настройки и верификации кассы перейдите во вкладку API.

  4. Найдите созданную кассу и нажмите кнопку Сгенерировать ключи.

  5. В открывшемся окне проверьте название кассы и URL.

  6. Нажмите и удерживайте кнопку Сгенерировать ключи до завершения генерации.

  7. Скопируйте и сохраните:

    1. UUID — идентификатор кассы. Используется при взаимодействии с API и передается в заголовке x-access-merchant-id;

    2. Private key (RSA) — приватный RSA-ключ в формате PEM. Используется для формирования цифровой подписи запросов;

    3. Public key (RSA) — публичный RSA-ключ. Используется для проверки подписи оповещений от HighHelp;

    4. Private key (HMAC) — секретный HMAC-ключ. Используется для формирования подписи запросов и оповещений при настроенном алгоритме HMAC-SHA512.

      Приватный RSA-ключ генерируется на стороне браузера и не сохраняется на стороне HighHelp. На стороне HighHelp сохраняется только публичный RSA-ключ кассы, который используется для проверки подписи запросов.

      HMAC-ключ генерируется одновременно с RSA-ключами, но используется только при настроенном для кассы алгоритме подписи HMAC-SHA512. По умолчанию для новых касс настроен алгоритм RSA-SHA256.

  8. Передайте значения UUID, Private key (RSA) команде разработки или DevOps-специалисту и обеспечьте их защищенное хранение.

Получение публичного ключа для проверки подписи

Для проверки подписи используйте публичный ключ, настроенный для кассы.

Порядок получения ключа:

  1. Откройте личный кабинет мерчанта.

  2. Перейдите в раздел APIНастройки Callback.

  3. В модальном окне найдите блок:

    • Public Key — если для кассы настроен алгоритм подписи RSA;

    • HMAC key — если для кассы настроен алгоритм HMAC (в этом случае используйте раздел Подпись оповещений (HMAC)).

  4. Для RSA нажмите на иконку скачивания в блоке Public Key и сохраните файл публичного ключа.

  5. Настройте сервис на использование этого ключа для проверки подписи по алгоритму RSA-SHA256.

Описание формата подписи оповещений и алгоритма проверки приведено в разделе Подпись оповещений (RSA).

Обновление API-ключей

Если требуется обновить API-ключи кассы, выполните следующие действия:

  1. Откройте личный кабинет мерчанта.

  2. Перейдите во вкладку API.

  3. Найдите нужную кассу и нажмите на иконку шестеренки.

  4. В открывшемся окне настроек кассы нажмите кнопку Обновить API ключи.

  5. В модальном окне проверьте информацию о кассе.

  6. Нажмите и удерживайте кнопку Сгенерировать ключи до завершения генерации.

  7. Cохраните новые ключи:

    • Private key (RSA) — новый приватный RSA-ключ;

    • Public key (RSA) — новый публичный RSA-ключ;

    • Private key (HMAC) — новый секретный HMAC-ключ.

  8. Обновите конфигурацию интеграции на стороне мерчанта, заменив старые ключи на новые.

После обновления API-ключей старые ключи перестанут работать немедленно. Убедитесь, что новые ключи корректно настроены на стороне мерчанта до начала использования. Рекомендуется выполнять обновление в период минимальной нагрузки на систему.

Обновление через кнопку Обновить API ключ заменяет все ключи: RSA Private/Public и HMAC Private. Если требуется обновить только HMAC-ключ, используйте функцию обновления в разделе Настройки Callback (см. HMAC аутентификация и подпись запросов).

Аутентификация в API

Для аутентификации запросов API и проверки целостности тела запроса используйте следующие HTTP-заголовки:

  • x-access-timestamp

  • x-access-merchant-id

  • x-access-signature

  • x-access-token

  • x-access-merchant-algorithm (необязательный для RSA)

Заголовок x-access-timestamp

x-access-timestamp содержит время формирования запроса.

  • Формат — Unix timestamp в секундах (количество секунд с 01.01.1970 00:00:00 UTC).

  • Тип — строка с десятичным целым числом.

Пример:

x-access-timestamp: 1716299720

Заголовок x-access-merchant-id

x-access-merchant-id содержит идентификатор кассы.

  • Значение — UUID, полученный при генерации ключей для кассы.

  • Тип — строка.

В примерах кода идентификатор кассы передается через переменную project_id.

Пример:

x-access-merchant-id: 57aff4db-b45d-42bf-bc5f-b7a499a01782

Заголовок x-access-token

x-access-token содержит публичный ключ кассы, закодированный в формате Base64Url.

Порядок формирования значения x-access-token:

  1. Загрузите приватный RSA-ключ в формате PEM.

  2. Получите из него публичный ключ.

  3. Экспортируйте публичный ключ в бинарном виде.

  4. Закодируйте полученные байты в Base64Url.

  5. Передавайте полученную строку в заголовке x-access-token.

Пример расчета значения x-access-token на Python (библиотека cryptography):

from cryptography.hazmat.primitives import serialization
import base64

# private_key: объект приватного ключа, загруженный из PEM

public_key_bytes = private_key.public_key().public_bytes(
    encoding=serialization.Encoding.PEM,
    format=serialization.PublicFormat.SubjectPublicKeyInfo,
)
api_key = base64.urlsafe_b64encode(public_key_bytes).decode("utf-8")

# api_key используйте как значение заголовка x-access-token

Заголовок x-access-signature

x-access-signature содержит цифровую подпись тела запроса и метки времени.

Алгоритм подписи (схематично):

message = base64url(normalized_payload) + str(timestamp)
signature = RSA-SHA256(message)
x-access-signature = base64url(signature)

Где:

  • normalized_payload — нормализованное представление JSON-тела запроса;

  • timestamp — значение заголовка x-access-timestamp (Unix timestamp в секундах).

Если тело запроса отсутствует, используйте пустой объект {}.

Заголовок x-access-merchant-algorithm

x-access-merchant-algorithm позволяет явно указать используемый алгоритм подписи.

  • Для RSA заголовок является необязательным.

  • Возможное значение для RSA: RSA-SHA256 (значение согласуйте со специалистом HighHelp).

Нормализация тела запроса

Для формирования подписи используется нормализованное представление JSON-тела запроса.

Алгоритм нормализации:

  1. Обойдите JSON-структуру рекурсивно.

  2. Для каждого значения сформируйте сформируйте путь в виде ключ1:ключ2:…​:значение.

  3. Для массивов используйте индексы элементов: :0, :1, …​

  4. Для булевых значений используйте: true1, false0.

  5. Отсортируйте все строки по алфавиту.

  6. Соедините строки через ;.

Пример функций нормализации на Python:

def parse_json(prefix, obj, result):
    if isinstance(obj, dict):
        for key, value in obj.items():
            new_prefix = f"{prefix}:{key}" if prefix else key
            parse_json(new_prefix, value, result)
    elif isinstance(obj, list):
        for index, item in enumerate(obj):
            new_prefix = f"{prefix}:{index}"
            parse_json(new_prefix, item, result)
    else:
        result.append(f"{prefix}:{obj or 'None'}")


def normalize_message(data):
    result = []
    parse_json('', data, result)
    result.sort()
    return ";".join(result)

Требования к нормализации

При реализации алгоритма нормализации учитывайте следующие требования:

  • Булевы значения: преобразуются в целочисленное представление (true1, false0).

  • Значения null: преобразуются в строку None. Не используйте пустые строки или пробелы.

  • Числа: используйте стандартное строковое представление без локализации (разделителей групп разрядов, локальных форматов). Не добавляйте незначащие нули.

  • Массивы: порядок элементов сохраняется в исходной последовательности. Индексы элементов добавляются к пути как :0, :1, :2, …​

  • Объекты: после формирования всех пар путь:значение выполняется сортировка по алфавиту по полной строке.

  • Кодировка символов: используйте UTF-8 для кодирования перед применением Base64Url. Не изменяйте регистр символов.

  • Пробелы и форматирование: не добавляйте и не удаляйте пробелы в значениях. Используйте точные значения из JSON-структуры.

Алгоритм формирования подписи

  1. Сформируйте объект payload с телом запроса.

  2. Нормализуйте payload функцией normalize_message():

    joined_result = normalize_message(payload)

  3. Закодируйте нормализованную строку в Base64Url и добавьте метку времени:

    timestamp = int(time.time())
message = "{}{}".format(
    base64.urlsafe_b64encode(joined_result.encode()).decode("utf-8"),
    str(timestamp),
).encode('utf-8')

  4. Подпишите байтовую строку message приватным RSA-ключом по алгоритму RSA-SHA256 (PKCS#1 v1.5).

  5. Закодируйте байты подписи в Base64Url и передайте результат в заголовке x-access-signature.

Пример запроса с RSA-подписью (Python3)

import base64
import json
import time
import requests

from cryptography.hazmat.primitives import hashes
from cryptography.hazmat.primitives.asymmetric import padding
from cryptography.hazmat.primitives import serialization

url = "https://api.hh-processing.com/api/v1/payment/p2p/payin"

# Идентификатор кассы (UUID)
project_id = "57aff4db-b45d-42bf-bc5f-b7a499a01782"

# Приватный RSA-ключ (PEM)
with open("private_key.pem", "rb") as key_file:
    private_key = serialization.load_pem_private_key(
        key_file.read(),
        password=None,
    )

payload = {
    "general": {
        "project_id": project_id
    }
}


def parse_json(prefix, obj, result):
    if isinstance(obj, dict):
        for key, value in obj.items():
            new_prefix = f"{prefix}:{key}" if prefix else key
            parse_json(new_prefix, value, result)
    elif isinstance(obj, list):
        for index, item in enumerate(obj):
            new_prefix = f"{prefix}:{index}"
            parse_json(new_prefix, item, result)
    else:
        result.append(f"{prefix}:{obj or 'None'}")


def normalize_message(data):
    result = []
    parse_json("", data, result)
    result.sort()
    return ";".join(result)


# Публичный ключ (Base64Url)
public_key_bytes = private_key.public_key().public_bytes(
    encoding=serialization.Encoding.PEM,
    format=serialization.PublicFormat.SubjectPublicKeyInfo,
)
api_key = base64.urlsafe_b64encode(public_key_bytes).decode("utf-8")

# Метка времени Unix (секунды)
timestamp = int(time.time())

# Нормализация тела запроса
joined_result = normalize_message(payload)

# Формирование сообщения для подписи
message = "{}{}".format(
    base64.urlsafe_b64encode(joined_result.encode()).decode("utf-8"),
    str(timestamp),
).encode("utf-8")

# Подпись RSA-SHA256
signature_bytes = private_key.sign(
    message,
    padding.PKCS1v15(),
    hashes.SHA256()
)
signature_b64url = base64.urlsafe_b64encode(signature_bytes).decode("utf-8")

# Заголовки
headers = {
    "content-type": "application/json",
    "x-access-token": api_key,
    "x-access-signature": signature_b64url,
    "x-access-merchant-id": project_id,
    "x-access-timestamp": str(timestamp),
}

# Тело запроса (JSON)
dumped = json.dumps(payload, separators=(",", ":")) if payload else "{}"

response = requests.post(url, headers=headers, data=dumped)
print(response.status_code)

Рекомендации по безопасности

  • Храните приватный RSA-ключ на стороне сервера.

  • Не логируйте приватный ключ.

  • Обновляйте ключи при смене кассы или по запросу через специалиста HighHelp.

  • Публичный ключ используйте для проверки подписи.