Autenticación

Para el servicio de micrositio personalizado existe las siguientes autenticaciones:

Web Services Security (WSS)

Se aclara que la autenticación es formada por el comercio de acuerdo con sus estándares y preferencias, en caso de ser necesario se podría proveer el login y trankey que genera Placetopay-evertec.

Ejemplo de autenticación:

Todas las solicitudes al web deben ser autenticadas con Web Services Security UsernameToken Profile 1.1.

Placetopay siempre enviara el siguiente objeto de autenticación por cada peticion realizada.

Ejemplo:

  • login: Credencial login provista al inicar tu integración. Identificador del sitio.

  • secretKey: Credencial secretKey provista al iniciar tu integración. Llave secreta del sitio.

  • seed: Se trata de la fecha en la que se generó la autenticación. La fecha debe estar en formato ISO 8601.
    Ejemplo: 2025-06-21T09:56:06-05:00

  • nonce: Valor arbitrario que identifica a una petición cómo única.
    Se genera y se utiliza para otras operaciones.
    Al momento de enviarlo, debe ser codificado en base 64.
    Ejemplo: nonce = 12345678

Ten en cuenta que nonce y seed son generados, login y trankey son proporcionados por el comercio o la pasarela, con esa información los datos a enviar deben ser:

  • Base64(SHA-256(nonce + seed + tranKey))
  • tranKey = dsRL5wIymrySr9TgsYtxWZEIb5/RtW1v3n3xLqQZKj4=
  • Base64(Nonce)
  • nonce = MTIzNDU2Nzg=

El valor del trankey resultante es Base64(SHA-256(nonce + seed + tranKey))

El nonce dentro del SHA-256 no es codificado en Base64, sólo está codificado como parámetro.

Autenticación de Ejemplo

{
 "auth": {
  "login": "usuarioprueba",
  "tranKey": "dsRL5wIymrySr9TgsYtxWZEIb5/RtW1v3n3xLqQZKj4=",
  "nonce": "MTIzNDU2Nzg=",
  "seed": "2025-01-29T17:02:49-05:00"
 }
 ...
}

JSON Web Token (JWT)

Tipo de autenticación creada para seguir el estándar JSON Web Token (JWT).

diagrama flujo token

Placetopay usa el servicio de autenticación para obtener el token que posteriormente será enviado en cada peticion. La autenticación básica se construye concatenando el username y el password, codificado en base64.

La peticion para obtener el token se realiza via GET 
{
 "headers": {
   "Authorization": "Basic base64(username . password)"
 }
}

Al momento de realizar la peticion de autenticacion Placetopay espera la siguiente estructura como respuesta:


{
  "access_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c",
  "token_type": "Bearer",
  "expires": "1674520892"
}

El campo “expires” corresponde al timestamp que indica la fecha en la que el token expirará. Se recomienda seguir el estándar del tiempo de expiración del token de 1 hora de duración.

Posteriormente, se enviará la siguiente información en cada una de las peticiones al servicio:


{
 "headers": {
   "Authorization": "Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c"
 }
}

Soporte para headers personalizados

Adicionalmente, con el tipo de autenticación JWT soportamos el envío de headers personalizados según requiera el servicio en cada una de las peticiones. Headers personalizados