AXEPTA est une solution de paiement basée sur une API HTTPS POST / GET utilisant des paramètres en méthode NVP (Name-Value-Pairs) et des objets JSON



Sécurisation

Authentification HMAC


Blowfish



Construire une requête de paiement

Concepts

L’intégration de la solution de paiement Axepta se base principalement sur un concept de construction de requête de paiement dont les principes sont les suivants :

  • Gestion des paramètres en méthode NVP (Name-Value-Pairs)
  • Utilisation d'objets JSON
  • Le calcul d'un HMAC
  • Une chaîne de caractères correcte contient trois paramètres de base : MerchantID (Identifiant du commerçant), Len (Longueur) et Data (Données). Les paramètres MerchantID et Len ne sont pas chiffrés. Seul le paramètre Data est chiffré avec la méthode Blowfish


Paramètres

  • Le paramètre Data (Données) comprend les détails de paiement essentiels comme le montant et la devise.
  • Le paramètre Len (Longueur) est très important pour le chiffrement, car il contient la longueur de la chaîne de caractères non chiffrée dans le paramètre Data. La quantité de données à chiffrer étant multipliée par 8 dans le cas du chiffrement Blowfish, la longueur correcte de la chaîne de caractères doit être connue pour le déchiffrement, sans quoi d’autres caractères non prévus apparaissent à la fin de la chaîne de caractères.

Les paramètres sont transmis via HTTPS POST ou HTTPS GET.

La méthode de transmission recommandée est HTTPS POST, car la chaîne de caractères du paramètre dans le cas de GET, jointe à l’URL, est limitée à 2 048 octets selon le navigateur, contrairement à la méthode POST qui n’est pas limitée par la taille de l’URL.



Etapes de création d’une requête de paiement

Les étapes de création d’une requête sont :

  • Calcul du HMAC pour sécuriser le montant et la devise
    • Chaîne de caractère à chiffer avec la clé HMAC : PayID*TransID*MerchantID*Status*Code
    • Certaines valeurs peuvent être laisser vide
  • Construire les objets JSON et les encoder en Base64 avec padding
  • Assembler les paramètres (clé / valeur, objets JSON) de l'API
  • Chiffrer tous les paramètres de l’API avec la clé Blowfish : cela permettra d’obtenir les paramètres Data et Len
  • Si besoin, ajouter des paramètres simples pour personnaliser la page de paiement hébergée par (par exemple language="en" pour utiliser la langue anglaise, les customFields)
  • Envoyer la demande d’API au endpoint choisi


Réponses d'une requête



Exemple pas à pas