HMAC-SHA512

Todas as requisicoes transacionais (cash-in, cash-out, refund, webhooks) exigem assinatura HMAC-SHA512 para garantir integridade e autenticidade do payload.

Como Funciona

Serialize o body da requisicao como JSON
Gere a assinatura HMAC-SHA512 usando seu client_secret como chave
Envie a assinatura no header hmac em formato hexadecimal lowercase

A API recalcula o hash e compara com o valor recebido usando comparacao em tempo constante (constant-time comparison), impedindo ataques de timing que tentam descobrir a assinatura byte a byte.

HMAC-SHA512 vs Webhook SHA256

A API usa HMAC-SHA512 para autenticar requisicoes enviadas por voce. Os webhooks enviados pela Owem Pay usam HMAC-SHA256 para assinatura (header X-Owem-Signature). Sao algoritmos diferentes -- cada um no seu contexto. Veja Webhooks para detalhes da validacao de webhooks.

Headers Obrigatorios

Header	Valor
`Authorization`	`ApiKey {client_id}:{client_secret}`
`Content-Type`	`application/json`
`hmac`	Assinatura HMAC-SHA512 em hexadecimal

Exemplos

JavaScript (Node.js)

javascript

const crypto = require('crypto');

const body = JSON.stringify({
  amount: 3000,
  pix_key: "12345678901",
  pix_key_type: "cpf",
  description: "Pagamento"
});

const hmac = crypto
  .createHmac('sha512', 'sk_seu-client-secret')
  .update(body)
  .digest('hex');

// Enviar como header: hmac: {valor}

Python

python

import hmac
import hashlib
import json

body = json.dumps({
    "amount": 3000,
    "pix_key": "12345678901",
    "pix_key_type": "cpf",
    "description": "Pagamento"
})

signature = hmac.new(
    b"sk_seu-client-secret",
    body.encode("utf-8"),
    hashlib.sha512
).hexdigest()

PHP

php

$body = json_encode([
    'amount' => 3000,
    'pix_key' => '12345678901',
    'pix_key_type' => 'cpf',
    'description' => 'Pagamento'
]);

$hmac = hash_hmac('sha512', $body, 'sk_seu-client-secret');

Java

java

import javax.crypto.Mac;
import javax.crypto.spec.SecretKeySpec;

String body = "{\"amount\":3000,\"pix_key\":\"12345678901\",\"pix_key_type\":\"cpf\",\"description\":\"Pagamento\"}";
String secret = "sk_seu-client-secret";

Mac mac = Mac.getInstance("HmacSHA512");
SecretKeySpec keySpec = new SecretKeySpec(secret.getBytes(), "HmacSHA512");
mac.init(keySpec);
byte[] hash = mac.doFinal(body.getBytes());

StringBuilder sb = new StringBuilder();
for (byte b : hash) {
    sb.append(String.format("%02x", b));
}
String hmac = sb.toString();

C#

csharp

using System.Security.Cryptography;
using System.Text;

var body = "{\"amount\":3000,\"pix_key\":\"12345678901\",\"pix_key_type\":\"cpf\",\"description\":\"Pagamento\"}";
var secret = Encoding.UTF8.GetBytes("sk_seu-client-secret");

using var hmacSha512 = new HMACSHA512(secret);
var hash = hmacSha512.ComputeHash(Encoding.UTF8.GetBytes(body));
var hmac = BitConverter.ToString(hash).Replace("-", "").ToLower();

Bash (curl)

bash

BODY='{"amount":3000,"pix_key":"12345678901","pix_key_type":"cpf","description":"Pagamento"}'
SECRET="sk_seu-client-secret"

HMAC=$(echo -n "$BODY" | openssl dgst -sha512 -hmac "$SECRET" | awk '{print $2}')

curl -X POST https://api.owem.com.br/api/external/pix/cash-out \
  -H "Authorization: ApiKey $CLIENT_ID:$CLIENT_SECRET" \
  -H "Content-Type: application/json" \
  -H "hmac: $HMAC" \
  -d "$BODY"

Validacao

A API valida o HMAC recebido contra o body da requisicao. Se a assinatura nao corresponder:

json

{
  "worked": false,
  "detail": "Invalid HMAC signature"
}

Importante

Use o body exatamente como enviado na requisicao (mesma serializacao JSON)
O client_secret da API Key e a chave HMAC
A assinatura deve ser em formato hexadecimal lowercase
A comparacao e feita em tempo constante -- nao ha como descobrir a assinatura por timing

HMAC-SHA512 ​

Como Funciona ​

Headers Obrigatorios ​

Exemplos ​

JavaScript (Node.js) ​

Python ​

PHP ​

Java ​

C# ​

Bash (curl) ​

Validacao ​