Le informazioni che ricevi da Currencycloud sono riservate e integre.
In altre parole, ti garantiamo che i dati sensibili non finiscano nelle mani sbagliate e, allo stesso tempo, raggiungano le persone giuste. In più, ti offriamo la massima tranquillità impedendo la manomissione delle informazioni che ricevi da Currencycloud.
L’autenticazione dei messaggi introdotta nelle notifiche push rappresenta l’ultima fase per migliorarne l’integrità.
Che cos’è una notifica push?
Le notifiche automatiche di Currencycloud offrono agli utenti visibilità in tempo reale e aggiornamenti istantanei dei progressi delle transazioni.
Grazie a queste notifiche push (webhook), gli utenti ricevono aggiornamenti in ogni fase del processo. Quando lo stato di una transazione cambia, puoi inviare una notifica all’endpoint o all’indirizzo email scelto dal cliente utilizzando le nostre API o Currencycloud Direct. Entrambe le soluzioni ti forniscono comunque un sistema davvero efficiente per consentire sia a te che agli utenti di restare sempre al passo.
Che cos’è l’autenticazione dei messaggi?
L’autenticazione dei messaggi è un processo impiegato per verificare che un messaggio provenga da Currencycloud e non abbia subito manomissioni. Alle notifiche viene allegato un codice di autenticazione del messaggio basato su hash (HMAC) da usare per verificare l’integrità.
Sono uno sviluppatore. Come funziona e cosa devo sapere?
Fase 1: genera una chiave segreta
La chiave generata solo da te viene condivisa fra il destinatario (tu) e il mittente (Currencycloud) del messaggio. Puoi creare o aggiornare questa chiave generata casualmente tramite Currencycloud Direct o l’endpoint della nostra API.
Per generare una chiave segreta, è necessaria una nuova autorizzazione. Ciò significa che puoi decidere quali contatti presenti sul tuo conto possono eseguire questa operazione.
Fase 2: prepara la notifica push
Currencycloud utilizza un potente algoritmo di hash (SHA-512) per generare il codice HMAC ricorrendo alla chiave segreta nota solo a te e al contenuto del messaggio originale. Questo codice HMAC viene allegato alla notifica che ricevi. Per poterlo calcolare, usa la stessa chiave segreta e l’algoritmo di hash. Ecco un esempio:
Fase 3: autenticazione del messaggio
Una volta ricevuto il messaggio, utilizza la chiave segreta, il contenuto del messaggio e lo stesso algoritmo di hash (SHA-512) per calcolare il codice HMAC.
Se il codice HMAC calcolato corrisponde a quello presente nell’intestazione del messaggio, significa che la sua autenticità è dimostrata crittograficamente.
Nota: è essenziale inviare il contenuto del messaggio al checksum nello stesso modo in cui lo hai ricevuto. Ad esempio, assicurati di non aggiungere altri caratteri (spazi bianchi o nuove righe).
Come posso generare una chiave sicura?
Per generare una chiave, accedi alla pagina del tuo profilo sulla piattaforma Direct oppure chiama la chiave API Generate HMAC (/v2/contacts/generate_hmac_key). La funzione per generare chiavi segrete è disponibile solo se l’account con cui effettui l’accesso dispone dell’autorizzazione appropriata. Per ottenerla, contatta il Customer Success Manager di riferimento. Le chiavi segrete possono essere generate tutte le volte che ne hai bisogno.
Dove posso vedere il codice HMAC nella notifica push?
Il codice HMAC viene allegato all’intestazione del messaggio prima che venga recapitato. Non occorre calcolare il codice HMAC per leggere il contenuto del messaggio, ma solo se desideri verificarne l’integrità.
Come posso verificare il codice HMAC?
Per verificare l’integrità di una notifica push, calcola l’hash del messaggio utilizzando l’intero contenuto della notifica e la tua chiave segreta, ad esempio:
$ echo -n ‘<notification_content>’| openssl dgst -sha512 -hmac "My Secret Key" (stdin)= 8b472cf04424acd33c3e6e3e74a821929fda2511d034dcd992d3ef3009f9834bfd042d2215de1583c4d57b90a7299e3e9f765e1ec5de003b73d7666d8a284027
Il risultato deve essere identico al codice HMAC allegato all’intestazione del messaggio.