Specifiche di utilizzo del servizio

Le API esposte da XPay supportano il protocollo HTTP con cifratura del canale e utilizzano il formato JSON per la richiesta e risposta.

Di seguito i dettagli tecnici per l'invocazione ai servizi.

Specifiche di chiamata

Protocollo	HTTPS
Metodo	GET/POST
Content-Type	application/json
Url di produzione	https://xpay.nexigroup.com/api/phoenix-0.0/psp/api/v1/
Url di test	https://xpaysandbox.nexigroup.com/api/phoenix-0.0/psp/api/v1/

Raccomandiamo di evitare chiamate dirette e/o l'inserimento degli indirizzi IP di risoluzione DNS degli endpoint nelle liste di autorizzazione del firewall. Tuttavia, nel caso in cui siano state configurate whitelist, aggiornarle con i seguenti indirizzi di produzione:

• 185.198.117.102
• 185.198.118.102

Vengono supportati i protocolli TLSv1.2 e TLSv1.3. Di seguito i cipher:

• TLS 1.2:
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
• TLS 1.3:
  • AES_128_GCM_SHA256
  • AES_256_GCM_SHA384
  • CHACHA20_POLY1305_SHA256

Di seguito il dettaglio del certificato installato in ambiente di test e produzione:

CERTIFICATO DI ROOT	GlobalSign Root R3
Numero di serie	04:00:00:00:00:01:21:58:53:08:A2
La CA intermedia è	GlobalSign RSA Organization Validation CA - 2018
Numero di serie	01:EE:5F:22:1D:FC:62:3B:D4:33:3A:85:57

Qualora fosse necessario scaricare i certificati, consultare le pagine web della Certification Authority (CA):

• https://support.globalsign.com/ca-certificates/root-certificates/globalsign-root-certificates
• https://support.globalsign.com/ca-certificates/intermediate-certificates/organizationssl-intermediate-certificates

Di seguito vengono presentati alcuni esempi di chiamata verso i servizi di XPay in diversi linguaggi di programmazione:

ATTENZIONE: l'esecuzione delle API deve avvenire rigorosamente lato server; implementarle lato client comporta notevoli rischi per la sicurezza.

Specifiche di notifica

Le notifiche di pagamento per servizi asincroni vengono inviate dal gateway XPay in modalità server to server con metodo POST, in formato JSON. Hanno il seguente user agent:

Apache-HttpClient/4.5.13 (Java/1.8.0_161)

La notifica è opzionale, viene inviata se si valorizza il parametro "notificationUrl" nelle API:

• POST /orders/hpp (Hosted Payment Page)
• POST/orders/paybylink (Pay-By-Link)
• POST /orders/build (XPay Build)

Di seguito gli indirizzi IP del Gateway da cui vengono inviate le notifiche: