Данный раздел содержит инструкцию и рекомендации по подключению к сервису Moneta SBP/FPS.
Moneta SBP/FPS - cервис, предназначенный для автоматизации вывода средств (переводов) с помощью СБП С2С/Ме2Ме Push c ЭСП МОНЕТА.РУ по номеру телефона.
Схема взаимодействия между приложением маркетплейса и сервисом Moneta SBP/FPS выглядит следующим образом:
Маркетплейсу необходимо предоставить следующие данные на адрес mp@payanyway.ru:
Со стороны Moneta SBP/FPS будет предоставлена следующая информация:
ApiSecret будет направлен на адрес электронной почты от Личного кабинета маркетплейса, указанный им в Договоре. ↩︎
Для формирования сервисом Moneta SBP/FPS операций перевода (вывода) необходимо пройти процедуру установления доверия с сервисом.
Маркетплейсу необходимо:
Для инициализиции виджета Moneta SBP/FPS маркетплейсу необходимо передать одноразовый токен безопасности, в котором надежно зашифрована вся необходимая информация для проведения перевода. Токен безопасности должен формироваться на стороне маркетплейса, по указанным ниже правилам.
Предварительные условия:
Для реализации алгоритма формирования единовременного токена использованы следующие стандарты:
Токен состоит из 2-х частей:
ApiSecret.Информационное сообщение состоит из набора ключ-значение, которые закодированы в соответствии с правилами URL-кодирования строк по RFC 3986. Пример:
key1=someKey&key2=Some%20Key2&extraKey=100500
Ниже приведен набор обязательных параметров, которые необходимо указать при формировании информационного сообщения (ключи должны следовать в отсортированном порядке, как в таблице ниже):
| Ключ | Описание | Тип | Пример |
|---|---|---|---|
| cid | Идентификатор операции на стороне маркетплейса | String | i-17-203112 |
| cidExpireAt | Дата/время до которой можно провести оплату (в EpohMills) | Число | 1610464610097 |
| key | ApiKey полученный при регистрации в MonetaId | Url Encoded String | site-x |
| nonce | Число, использующееся для невозможности повторного использования одного и того же токена (см. ниже) | Число | 10201010 |
| unitId | Номер профиля/юнита пользователя ЭСП МОНЕТА.РУ | Число | 987654321 |
| accountId | Номер ЭСП МОНЕТА.РУ для списания средств | Число | 1230567 |
| callbackUrl | Опциональный параметр для demo окружения: Возможность задать тестовый callback url, отличный от того, что задан партнеру при регистрации. | Url Encoded String | http%3A%2F%2Fya.ru |
При формировании nonce удобно использовать текущее время в секундах на момент формирования токена. Каждый новый nonce в новом токене, формирующийся для данного unitId должен быть строго больше предыдущего для данного юнита (т.е. nonce должен строго монотонно возрастать), иначе он будет отброшен как некорректный.
Пример итогового информационного сообщения:
cid=i103020&cidExpireAt=1601375568244&key=partner123&nonce=1601375468244&unitId=987654321&accountId=1230567
После того, как информационное сообщение сформировано, необходимо вычислить подпись/хеш с использованием общего секрета - ApiSecret.
Алгоритм формирования:
// message - инф. сообщение
// secret - секрет/apiSecret
signatureBytes = hmac_sha512(message, secret)
signatureString = bytesToHex(signatureBytes)После того, как подпись в виде hex-строки сформирована, необходимо добавить ее к информационному сообщению с ключом signature:
cid=i103020cidExpireAt=1601375568244&key=partner123&nonce=1601375468244&unitId=987654321&accountId=1230567&signature=7d7b968768f664bcdbd67bbd4e3f59347b300226734ade68bed660ab7794522fe0e3e66ecdb211f746dae1c44681a306ee221f8706c63195607e525e979360
Финальным шагом необходимо полученную строку (информационное сообщение + подпись) закодировать при помощи base64, использовать при перенаправлении на виджет Moneta SBP/FPS.
// СЕРВЕР
// на стороне сервера формируем итоговый токен
message = "cid=i103020cidExpireAt=1601375568244&key=partner123&nonce=1601375468244&unitId=987654321&accountId=1230567&signature=7d7b968768f664bcdbd67bbd4e3f59347b300226734ade68bed660ab7794522fe0e3e66ecdb211f746dae1c44681a306ee221f8706c63195607e525e979360"
token = base64(message)
// БРАУЗЕР КЛИЕНТА
// делаем редирект в браузере клиента на указанный адрес с этим токеном
// DEV окружение
https://fps-ui.dev.mnxsc.tech/?token={{token}}
// PROD окружение
https://fps-ui.prod.mnxsc.tech/?token={{token}}$secretKey = "secretKey";
$cid = "i103020";
$cidExpireAt = 1601375568244;
$key = "partner123";
$nonce = time();
$unitId = 987654321;
$accountId = 1230567;
$infoMessage = "cid=" . $cid . "&cidExpireAt=" . $cidExpireAt . "&key=" . $key . "&nonce=" . $nonce . "&unitId=" . $unitId . "&accountId" . $accountId;
$signatureString = hash_hmac("sha512", $infoMessage, $secretKey);
$token = base64_encode($infoMessage . "&signature=" . $signatureString);const SECRET_KEY = 'secretKey';
const cid = "i103020";
const cidExpireAt = 1601375568244;
const key = 'partner123';
const nonce = Date.now();
const unitId = 987654321;
const accountId = 1230567;
const urlEncodedParams =
'cid='+encodeURIComponent(cid)
+'&cidExpireAt='+encodeURIComponent(cidExpireAt)
+'&key='+encodeURIComponent(key)
+'&nonce='+encodeURIComponent(nonce)
+'&unitId='+encodeURIComponent(unitId)
+'&accountId='+encodeURIComponent(accountId);
const signature = CryptoJS.HmacSHA512(urlEncodedParams, SECRET_KEY);
const signatureHex = CryptoJS.enc.Hex.stringify(signature);
const finalParams = urlEncodedParams + '&signature='+encodeURIComponent(signatureHex);
const token = CryptoJS.enc.Base64.stringify(CryptoJS.enc.Utf8.parse(finalParams));// DEV окружение
<iframe
src="https://fps-ui.dev.mnxsc.tech/withdrawal?frame=true&token={ONE_TIME_TOKEN}"
style="
width: 400px;
height: 600px;
border: 1px solid #CCC;
border-radius: 10px">
</iframe>
// PROD окружение
<iframe
src="https://fps-ui.prod.mnxsc.tech/withdrawal?frame=true&token={OONE_TIME_TOKEN"
style="
width: 400px;
height: 600px;
border: 1px solid #CCC;
border-radius: 10px">
</iframe>| Ограничение | Решение |
|---|---|
| Не работает вставка https iframe в http родителя. | Браузеры ограничивают возможности таких iframe, поэтому для тестов нужен https родитель. Например: https://localhost:8080 |
Виджет отправляет родительской странице события, которые можно обработать в js коде:
// код на сайте:
window.addEventListener("message", receiveMessage, false);
function receiveMessage(event) {
// событие от виджета
if(event.origin === 'https://fps-ui.prod.mnxsc.tech'){
const data = event.data || {};
console.log(data.type);
}
}| Тип события | Описание |
|---|---|
| initialized | Виджет инициализирован |
| error | Произошла ошибка отображения виджета, при этом data.error будет содержать код ошибки |
| loggedOut | Пользователь завершил работу с виджетом |
| verificationFinished | Верификация пользователя завершена, при этом в поле data.status будет результат операции: ‘SUCCESS’ либо ‘FAILED’ |
| withdrawalFinished | Вывод завершен, при этом в поле data.status будет результат операции: ‘SUCCESS’ либо ‘FAILED’ |
Операции перевода формируются сервисом Moneta SBP/FPS в статусе Операция создана и для продолжения операции необходимо воспользоваться методом PaymentRequest MONETA.MerchantAPI, указав в поле payee номер операции с ведущим нулем.
Результат подготовки операции перевода будет передан на указанный маркетплейсом при регистрации callback url в виде POST запроса с JSON объектом содержащим параметры:
operationId - номер операции с ведущим нулем, который необходимо указать в PaymentRequest в поле payeemessageId - номер сообщения СБП, его необходимо указать в operationInfo в поле SECUREDFIELD:unsBo_79Информация, подтверждающая валидность сообщения, будет замещена в заголовке HTTP запроса X-Digest.Сервис Moneta SBP/FPS размещает в этом заголовке подпись данных из тела запроса, созданную при помощи ApiSecret, предоставленного при регистрации маркетплейса с использованием алгоритма HMAC-SHA512.
Уведомление на callback url считается успешно доставленным в случае получения от маркетплейса HTTP ответа с кодом 200. В противном случае, сервис Moneta SBP/FPS будет пытаться повторить доставку уведомления до достижения таймаута, после которого проведение перевода будет невозможно.
Запрос формируется согласно интерфейсу MONETA.MerchantAPI.
{
"Envelope": {
"Header": {
"Security": {
"UsernameToken": {
"Username": "USERNAME",
"Password": "PASSWORD"
}
}
},
"Body": {
"PaymentRequest": {
"payer": "номер ЭСП МОНЕТА.РУ",
"payee": "0operationId",
"amount": "10",
"isPayerAmount": false,
"paymentPassword": "010101010",
"operationInfo": {
"attribute": [
{
"key": "SECUREDFIELD:unsBo_79",
"value": "1234123452345345645674567578"
}
] }
}
}
}
}Сервис Moneta SBP/FPS позволяет просмотреть историю транзакций. История отображается в убывающем по дате создания транзакции порядке и позволяет посмотреть детальную информацию по выбранной транзакции на отдельной странице. Данные в истории обновляются автоматически с определенным периодом. Для отображения истории необходимо:
// DEV окружение
<iframe
src="https://fps-ui.dev.mnxsc.tech/wallet/wallets/transactions?frame=true&token={ONE_TIME_TOKEN}"
style="
width: 400px;
height: 600px;
border: 1px solid #CCC;
border-radius: 10px">
</iframe>
// PROD окружение
<iframe
src="https://fps-ui.prod.mnxsc.tech/wallet/wallets/transactions?frame=true&token={ONE_TIME_TOKEN}"
style="
width: 400px;
height: 600px;
border: 1px solid #CCC;
border-radius: 10px">
</iframe>