Introductie

Bij Evidos streven we er voortdurend naar om de veiligheid van ons platform te verbeteren.

De Signhost postback service is bedoeld om realtime updates van uw transacties naar uw server te sturen.

We hebben twee methodes om postbacks te beveiligen:

Deze twee methoden kunnen tegelijkertijd worden gebruikt.

We hebben twee methodes om de Postback Url te specificeren

  • De variabele methode, door ons een Postback Url per transactie te sturen tijdens het aanmaken van een transactie met een POST call. Deze methode ondersteunt alleen digest beveiliging.

  • De statische methode, door het specificeren van de Postback Url(s) in ons portaal voor uw applicatie. Deze methode ondersteunt zowel Digest beveiliging, als beveiligingsheaders.

Let op: in de toekomst zullen we overschakelen naar variabele IPs, we raden u aan om niet te vertrouwen op IP whitelisting aangezien dit ons kan verhinderen om postbacks te leveren aan uw systeem.

Dit artikel legt de Security header methode in meer detail uit.


Postback security headers

Deze veiligheidsmaatregel kan worden gebruikt door een of meer statische postback Urls op te geven in ons web portaal. Om dit te beheren hebben we een nieuwe pagina toegevoegd.

In ons web portaal kan een portaal beheerder toegang krijgen tot het Push notificaties menu. Klik op de knop om daar direct naar toe te gaan. We zullen deze pagina op een later tijdstip koppelen aan het gewone portal menu.

Postback pagina

Op deze pagina kunt u:

  • Postback Url's toevoegen;

  • Postback Url's verwijderen.

De statussen zien van uw postback Url's

  • Of deze een security header gebruikt of niet;

  • Of er postbacks in de wachtrij staan als we deze niet kunnen afleveren op uw server door een serverprobleem in uw applicatie.

Een Postback Url toevoegen

Wanneer u een nieuwe Postback Url toevoegt, vergeet dan niet om de hele link in te voeren, met https://

Optioneel kunt uook een Authorization Header toevoegen. Deze header zal worden gebruikt in elke POST naar uw server endpoint, en kan worden gebruikt om te valideren of de Postback door ons is verzonden voordat u verdere business logica moet toepassen.

U kunt om het even welke string invoeren, wij raden u echter aan om een veilige en veilig gegenereerde header te kiezen.

Controles en statussen

Bij het maken van de Postback Url, zullen we controleren of uw endpoint http compliant is. Hiervoor sturen we een:

  • POST

  • PUT

  • DELETE

  • GET

Wij verwachten een geldig antwoord voor deze verzoeken. De Post moet een status 2xx teruggeven. De andere verzoeken kunnen elk geldig http antwoord teruggeven.

Zonder een antwoord kan de Postback Url niet worden aangemaakt en wordt een waarschuwing getoond.

Door deze Url te controleren zullen we er zeker van zijn dat uw endpoint alle postbacks zal verwerken. Als we geen geldige respons krijgen wanneer uw Url operationeel is, zullen we een wachtrij maken om dataverlies te voorkomen. Lees meer over ons queuing beleid onderaan deze pagina.

Wat ontvangt u?

Bij elke postback sturen we een Authorization header mee. In dit voorbeeld is 123456789 opgegeven in het portal.

Wat gebeurt er met het huidige Postback mechanisme?

Merk op dat wanneer u deze nieuwe beveiligingsmethode voor headers gebruikt, de methode om de Postback Url op te geven dezelfde blijft.

  • Wanneer u een Postback Url invoert in het Evidos webportaal, zullen wij altijd deze Url gebruiken;

  • Wanneer u een Postback Url specificeert in uw API POST-verzoek, zullen wij die Url aanvullend gebruiken.

Beide methoden werken onafhankelijk van elkaar. Ter herinnering, alleen door het specificeren van een Postback Url in het portaal, bent u in staat om de header beveiliging te gebruiken.

Heb je het antwoord gevonden?