API Kullanımı

Kimlik Doğrulama

Payantis API'lerini çağırabilmek için OAuth2.0 protokolü ile kimlik doğrulaması yapılarak Access Token alınması gerekir. Kimlik doğrulaması sırasında kullanılacak kullanıcı adı ve şifre Payantis ekibi tarafından kurumlar ile özel olarak paylaşılır ve bu bilgiler ile token alınarak ve her isteğin headerındaki Authorization bölümüne eklenir.

Access Token Oluşturma ve API Çağrıları

Token Parametreleri

Parametre	Değeri
grant_type	password
scope	profile
client_id	Integration_API_Client
user_name	Payantis tarafından verilen API kullanıcı adı
password	Payantis tarafından verilen API şifresi

Token almak için Get Token methodu kullanılabilir.

Header Bilgilerinin Eklenmesi

API çağrılarında gerekli yetkilendirmeyi sağlamak için alınan token, her isteğin Authorization başlığına şu şekilde eklenir:

Authorization: Bearer token

Token Refresh

Test ortamında tokenlar 2 saat için geçerli olacak şekilde üretilir. Token'ın daha uzun süre kullanılması için bu süre bitiminden önce kullanıcı ve şifre verilmeden refresh token kullanılarak yeniden token alınması gerekir. Böylelikle bir token en fazla 24 saat kullanılabilir. 24 saatin sonunda mutlaka yeni bir token alınması gereklidir. Token Refresh için Refresh Token methodu kullanılabilir.

.NET Kod Örneği: Access Token Alma

Aşağıdaki kod örneğinde, kullanıcı adı ve şifre bilgileriyle bir erişim token'ı alınmaktadır.

Idempotency ve Correlation ID

Platform API'lerini çağıran client'ların her API çağrısı için unique bir Correlation ID göndermesi beklenmektedir.

Payantis Platform'da idempotency, istemciden gelen her isteğe özel bir correlation-id gönderilerek sağlanır. Sistem, aynı correlation id ile yapılan tekrar eden istekleri algılar ve sadece ilkini işleyerek yinelenen işlemleri engeller.

Kurum servis çağrılarında her isteğe özel atanan correlation-id ile:

İstek akışı izlenir, hangi servislerin çağrıldığı ve nasıl işlendiği görülür.

Hata ayıklama süreci hızlanır, belirli bir isteğe bağlı hatalar daha kolay tespit edilir.

Günlük (log) analizi daha verimli hale gelir, tüm işlem zinciri uçtan uca takip edilir.

Request Dili

API çağrılarında header'da Accept-Language gönderilmesi tavsiye edilmektedir. Response mesajlarındaki cevap ve hata açıklamaları burada gönderilen dile göre oluşturulmaktadır. Öte yandan küçük-büyük harf dönüşümleri (Örneğin requestte gönderilen müşteri adı/soyadı gibi alanlar kaydedilirken büyük harfe dönüştürülmektedir) de Accept-Language alanında belirtilen dile göre yapılmaktadır.

Hassas Bilgilerin Güvenli İletimi

PCI-DSS gereği ödeme sistemlerinde hassas verilerin güvenli iletimi çok önemlidir. Bu veriler; açık kart numarası, CVV, son kullanma tarihi ve PIN'dir. Payantis Platform'da kurumdan gelen ve kuruma gönderilen bu tür bilgiler şifrelenerek iletilir. Şifreleme şu durumlarda yapılır:

Kurumun Verileri Şifrelemesi: Kurum, bazı durumlarda açık kart numarası ile işlem yapmak isteyebilir. Payantis, bu numarayı şifrelemek için 2048 bit uzunluğunda bir RSA anahtar çifti üretir ve public anahtarını kuruma verir. Kurum, bu public anahtarla veriyi şifreler. Payantis, gelen veriyi kendi private anahtarıyla çözüp işleme alır.

Payantisin Verileri Şifrelemesi: Payantis, hassas verileri sistemde açık bir şekilde tutmaz. Ancak bazı durumlarda (örneğin sanal kart bilgilerini göstermek gibi), bu verilerin kuruma açılabilir şekilde iletilmesi gerekir. Kurum bu amaçla 2048 bit uzunluğunda bir RSA anahtar çifti üretir ve public kısmını Payantis’e verir. Payantis bu anahtarla verileri şifreler, kurum ise gelen veriyi kendi private anahtarıyla çözer.

Fiziksel Kart Şifresi Taşıma: Fiziksel kart şifresi değiştirileceğinde (kurumun kanallarından), şifre bilgisinin Payantis’e güvenli şekilde iletilmesi gerekir. Payantis, bu işlem için bir 3DES anahtarı üretir ve kuruma verir, kurum bu anahtarı güvenli bir şekilde saklar. Bu anahtarın kuruma iletilmesi özel bir protokolle güvenli bir şekilde gerçekleştirilir, bunun için Payantis ekibi ile Kurum ekipleri birlikte anahtar seramonisi gerçekleştirirler. Kurum kart şifresini ISO Format 0'a göre formatlar ve bu 3DES anahtarı ile şifreleyerek bir Pin Block oluşturur, kart şifre bilgisi olarak bu Pin Block kullanılır. Payantis herhangi bir şekilde bir kartın şifre bilgisini açığa çıkarmaz ve kuruma herhangi bir formatta iletmez.

Şifreleme İşlemlerinin Uygulanması

RSA Algoritması İle Veri Şifreleme

Kurumun Payantis Platform'a hassas veriyi gönderebilmesi için aşağıdaki EncryptData methodu ile şifrelemesi gerekmektedir. Bu methodda şifreleme için kullanılacak anahtar olan publicKey Payantis tarafından üretilerek Kuruma iletilmektedir.

RSA Algoritması İle Veri Çözme

Kurumun Payantis'ten gelen hassas ve şifreli veriyi gönderebilmesi için aşağıdaki DecryptData methodu kullanılabilir. Bu methodda veriyi çözme için kullanılacak anahtar olan privateKey kurum tarafından daha önce üretilmiştir.

3DES Algoritması ile PIN'in Şifrelenmesi

Kurumun PIN bilgisini Payantis'e iletebilmesi için şifrelemesi gerekmektedir. Bu şifreleme işleminde kullanılacak anahtar Payantis tarafından kuruma iletilir. Aşağıdaki GeneratePinBlock methodu ile PIN'i şifreli pin block'a çevirmek mümkündür.

Kimlik Doğrulama#

Access Token Oluşturma ve API Çağrıları#

.NET Kod Örneği: Access Token Alma#

Idempotency ve Correlation ID#

Request Dili#

Hassas Bilgilerin Güvenli İletimi#