Autoryzacja

Wywołania HTTP z POS do OpenApp używają uwierzytelniania HMAC OpenApp Merchant API. Dotyczy to callbacków POS, zdarzeń wysyłanych przez POS, raportowania stanu oraz innych wywołań HTTP inicjowanych przez POS po aktywacji.

Samo wywołanie aktywacyjne jest operacją inicjalizującą i używa NIP-u sprzedawcy oraz krótkotrwałego PIN-u aktywacyjnego, ponieważ poświadczenia POS jeszcze nie istnieją.

Po aktywacji OpenApp zwraca poświadczenia ograniczone do POS. POS używa tych poświadczeń do podpisywania żądań HTTP do OpenApp.

OpenApp weryfikuje podpis HMAC i ustala zakres poświadczeń po stronie serwera, w tym sprzedawcę, profil integracji i funkcję POS.

Zegary POS muszą być rozsądnie zsynchronizowane z rzeczywistym czasem. OpenApp akceptuje podpisane timestampy tylko w granicach 60-sekundowej tolerancji odchylenia zegara. Jeśli zegar POS różni się od czasu serwera OpenApp o więcej niż 60 sekund, OpenApp odrzuca żądanie przed przetworzeniem body.