Bij Evidos hanteren we enkele sleutels om onze dataoverdracht beveiligd en gecontroleerd te kunnen uitvoeren. Hieronder een uitleg van deze 3 sleutels die éénmalig bij het openen van het API account worden uitgegeven:

Elke organisatie die de API gebruikt voor een eigen koppeling heeft een eigen applicatie sleutel. Deze sleutels worden uitgegeven door Evidos.
Een vast onderdeel van elk HTTP Request naar de servers Signhost.com bevat een header met daarin de APP Key om de applicatie van waaruit het verzoek wordt gestuurd te identificeren.

Wanneer een gebruiker van Evidos gebruik wenst te maken van een andere applicatie dan het standaard web portaal van Evidos dient er eerst een Usertoken te worden gegenereerd in het portaal. Middels deze sleutel kan de gebruiker op elke andere applicatie worden geïdentificeerd, zodat de server weet uit welke naam het ondertekenverzoek moet worden verstuurd.
Dienen er gebruikers te worden geregistreerd op jouw applicatie? Vergeet dan niet de Usertoken van de gebruiker toe te voegen! Gebruikers dienen wel een useraccount te hebben bij Evidos om een Usertoken aan te kunnen maken.

Wanneer er een transactie wordt verstuurd via de API kan er ook worden gekozen om postbacks te ontvangen op uw applicatie met status updates van de Signhost server. Deze kunnen gevoelige informatie bevatten, zoals persoonsgegevens uit een iDEAL/iDIN verificatie, en daarom worden er alleen HTTPS URL's geaccepteerd. Heeft jouw applicatie een eigen statuspagina? Dan zijn de postbacks onmisbaar.
Het Shared Secret wordt gebruikt in de berekening voor de checksum validatie, zie ook de documentatie hoe de checksum berekend moet worden én hoe de postbacks het best geïmplementeerd kunnen worden.