Bezpieczeństwo integracji to absolutny priorytet. Aby mieć 100% pewności, że otrzymane powiadomienie IPN faktycznie pochodzi od systemu SimPay (a nie od złośliwego użytkownika próbującego wyłudzić opłacenie zamówienia), zdecydowanie zalecamy wdrożenie walidacji adresów IP.
Wdrożenie tego mechanizmu całkowicie uniemożliwia ataki typu IPN Spoofing (podszywanie się pod nasze serwery).
Nasza infrastruktura sieciowa jest dynamiczna, co oznacza, że pula naszych adresów IP używanych do wysyłki webhooków może ulegać zmianom. Z tego powodu proces autoryzacji każdego powiadomienia powinien wyglądać następująco:
- W momencie, gdy Twój serwer odbiera żądanie POST (Webhook), odczytujesz adres IP nadawcy z nagłówka połączenia.
- Następnie Twój system wykonuje szybkie zapytanie
GETdo naszego publicznego endpointu:https://api.simpay.pl/ip - Nasze API zwraca aktualną, autoryzowaną listę adresów IP.
- Porównujesz IP nadawcy webhooka z otrzymaną listą. Jeśli adres znajduje się na liście – powiadomienie jest autentyczne i możesz bezpiecznie zmienić status zamówienia.
Wysyłając zapytanie pod adres https://api.simpay.pl/ip, otrzymasz odpowiedź w formacie JSON zawierającą tablicę z naszymi aktualnymi adresami IPv4.
{
"success": true,
"data": [ // tablica adresów IP
"X.X.X.X",
"Y.Y.Y.Y"
]
}Absolutnie odradzamy cachowania (zapisywania w pamięci podręcznej) listy adresów IP pobranej z tego endpointu!
Musisz odpytywać adres https://api.simpay.pl/ip w czasie rzeczywistym, przy każdym pojedynczym powiadomieniu IPN, które do Ciebie trafia.
Dlaczego to takie ważne? Lista naszych adresów IP może się zmienić w dowolnej chwili (np. w związku z pracami konserwacyjnymi, aktualizacjami bezpieczeństwa czy skalowaniem serwerów). Jeśli zapiszesz te adresy na "twardo" w kodzie (tzw. hardcoding) lub ustawisz dla nich długi czas życia w cache'u (TTL), to w momencie zmiany IP przez SimPay:
- Twój sklep zablokuje prawdziwe powiadomienia o opłaceniu zamówienia.
- System nie wyda klientom towarów / usług.
- Zaczną się mnożyć skargi i zapytania do supportu.
Oszczędź sobie problemów w przyszłości i zawsze sprawdzaj adresy dynamicznie na bieżąco!