Webhook Signature
Setiap callback pembayaran harus divalidasi menggunakan signature. Validasi dilakukan terhadap raw body agar data callback tidak dapat dimanipulasi tanpa terdeteksi.
Lapisan keamanan platform untuk melindungi akun, credential, transaksi, callback, dan proses pencairan saldo.
Setiap callback pembayaran harus divalidasi menggunakan signature. Validasi dilakukan terhadap raw body agar data callback tidak dapat dimanipulasi tanpa terdeteksi.
Halaman login dan pendaftaran dapat dilindungi Turnstile untuk mengurangi bot, spam, dan percobaan akses otomatis tanpa mengganggu pengalaman pengguna yang sah.
API key digunakan untuk identifikasi request, sedangkan private key digunakan untuk membuat dan memvalidasi signature. Secret key tidak boleh ditampilkan di frontend publik atau disimpan pada repository terbuka.
Merchant dapat membatasi akses API berdasarkan IP server yang diizinkan sehingga request dari sumber tidak dikenal dapat ditolak lebih awal.
Log aktivitas, status transaksi, dan pemrosesan callback secara idempotent membantu mencegah transaksi diproses dua kali dan memudahkan penelusuran jika terjadi kendala.