Autenticación

API Key

Los API Keys son requeridos en todas las peticiones que hagas hacia Shinkansen y viajan en la cabecera HTTP Shinkansen-Api-Key para Shinkansen Core. Puedes encontrar estas llaves en el Dashboard y deberás resguardarlas de manera segura. Una vez que las veas ya no las podemos volver a mostrar y deberás regenerarlas.

En el caso de Shinkansen Validator, la cabecera para API Keys se llama Shinkansen-Validator-Api-Key.

En el caso de Shinkansen Treasury, la cabecera para API Keys se llama Shinkansen-Treasury-Api-Key.

Firmas JWS

Las operaciones que envías a Shinkansen que involucren movimiento automatizado de dinero (u otras operaciones muy sensibles) requerirán una firma usando llaves privadas RSA. Estas llaves privadas sólo las manejas tú. A Shinkansen le compartes un certificado que contiene solamente la llave pública.

Esta firma viaja en la cabecera HTTP Shinkansen-JWS-Signature.

Tú también deberás verificar esta firma cuando recibas mensajes desde Shinkansen Core en tus webhooks. La cabecera será la misma, pero irá firmada con una llave privada de Shinkansen y la deberás verificar de acuerdo a los certificados que te facilitaremos para tal efecto.

⚠️

En caso que sospeches que se fugó una llave RSA o API Key

Avísanos en los canales de seguridad que te indicamos en tu enrolamiento ante cualquier problema con llaves o privadas o API Keys, puedes usar el Dashboard para rotarlas (Nosotros nos vamos a enterar del cambio, pero siempre es una buena idea ser explícitos con estas cosas sensibles).

Firmas HMAC

En operaciones menos sensibles (ejemplo: respuestas de Validator), tu webhook deberá validar firmas mas sencillas que se generan usando secreto compartido y algoritmos HMAC. El nombre de las cabeceras varía según el producto: Shinkansen-Validator-Signature o Shinkansen-Treasury-Signature.