Introductie
Bij Signhost streven we er voortdurend naar om de veiligheid van ons platform te verbeteren.
De Signhost postback service is bedoeld om realtime updates van de transacties naar jullie server te sturen.
We hebben twee methodes om postbacks te beveiligen:
De Digest-methode, zoals hier gedocumenteerd: https://evidos.github.io/postback/
Postback beveiligingsheaders (toegevoegd 24 feb 2021)
Deze twee methoden kunnen tegelijkertijd worden gebruikt.
We hebben twee methode om de Postback Url te specificeren
De variabele methode, door ons een Postback Url per transactie te sturen tijdens het aanmaken van een transactie met een POST call. Deze methode ondersteunt alleen digest beveiliging.
De statische methode, door het specificeren van de Postback Url(s) in ons portaal voor jouw applicatie. Deze methode ondersteunt zowel Digest beveiliging, als beveiligingsheaders.
Let op! We hanteren variabele IPs, we raden aan om niet te vertrouwen op IP whitelisting aangezien dit ons kan verhinderen om postbacks te leveren aan uw systeem.
Dit artikel legt de Security header methode in meer detail uit.
Postback security headers
Deze veiligheidsmaatregel kan worden gebruikt door een of meer statische postback Urls op te geven in ons web portaal.
In ons web portaal kan een portal administrator toegang krijgen tot het Push notificaties menu. Klik op de onderstaande knop om daar direct naar toe te gaan.
Postback pagina
Op deze pagina kun je:
Postback Url's toevoegen;
Postback Url's verwijderen.
De statussen zien van jouw postback Url's:
Of deze een security header gebruikt of niet;
Of er postbacks in de wachtrij staan als we deze niet kunnen afleveren op jouw server door een serverprobleem in jullie applicatie. Herkenbaar aan de satus Failing.
Let op! je ontvangt na het aanmaken van de postback URL eerst een lege postback terug.
Een Postback Url toevoegen
Wanneer je een nieuwe Postback Url toevoegt, vergeet dan niet om de hele link in te voeren, met https://
Optioneel kun je ook een Authorization Header toevoegen. Deze header zal worden gebruikt in elke POST naar uw server endpoint, en kan worden gebruikt om te valideren of de Postback door ons is verzonden voordat je verdere business logica moet toepassen.
Je kunt om het even welke string invoeren, wij raden je echter aan om een veilige en veilig gegenereerde header te kiezen.
Controles en statussen
Bij het maken van de Postback Url, zullen we controleren of jullie endpoint http compliant is. Hiervoor sturen we een:
POST
Wij verwachten een geldig antwoord voor dit verzoek. De Post moet een status 2xx teruggeven. Zonder een antwoord kan de Postback Url niet worden aangemaakt en wordt een waarschuwing getoond.
Door deze Url te controleren zullen we er zeker van zijn dat jullie endpoint alle postbacks zal verwerken. Als we geen geldige respons krijgen wanneer de Url operationeel is, zullen we een wachtrij maken om dataverlies te voorkomen. Lees meer over ons queuing beleid onderaan deze pagina.
Wat ontvang je?
Bij elke postback sturen we indien gewenst een Authorization header mee. In dit voorbeeld is 123456789 opgegeven in het portal.
Let op dat wanneer je deze nieuwe beveiligingsmethode voor headers gebruikt, de methode om de Postback Url op te geven dezelfde blijft.
Wanneer je een Postback Url invoert in het Signhost webportaal, zullen wij altijd deze Url gebruiken;
Wanneer je een Postback Url specificeert in uw API POST-verzoek, zullen wij die Url aanvullend gebruiken.
Beide methoden werken onafhankelijk van elkaar. Ter herinnering, alleen door het specificeren van een Postback Url in het portaal, ben je in staat om de header beveiliging te gebruiken.
Ons support team helpt je graag verder via de chat of mail naar support@signhost.com