Базовый — заголовок X-Api-Key. Используется для приёма платежей: создание, статус, H2H, курсы.
Подписанный — X-Api-Key + X-Timestamp + X-Signature. Обязателен для выплат (вывод средств). См. подписанные запросы.
Заголовок X-Api-Key
Передавайте ключ в заголовке X-Api-Key в каждом запросе к эндпоинтам/integration/*. Ключ идентифицирует мерчанта. Для приёма платежей этого достаточно; для выплат дополнительно требуется подпись запроса.
| Поле | Тип | Описание |
|---|---|---|
X-Api-Keyобяз. | string | Секретный API-ключ мерчанта из личного кабинета. |
Content-Typeобяз. | string | Для запросов с телом — application/json. |
curl https://api.cashera.cash/api/v1/integration/transactions/9b1f2c4e \-H "X-Api-Key: pk_live_3f8a2c••••••••••••"
Никогда не используйте API-ключ в браузере, мобильном приложении или другом клиентском коде — он даёт полный доступ к приёму платежей. Все вызовы делайте с вашего бэкенда.
Ошибки авторизации
Если ключ отсутствует, неверен или мерчант отключён, API вернёт ошибку:
| Поле | Тип | Описание |
|---|---|---|
401опц. | Unauthorized | Заголовок X-Api-Key не передан или пустой / неизвестный ключ. |
403опц. | Forbidden | Мерчант отключён или недоступен. |
{"message": "X-Api-Key header is required."}
Лимиты запросов
Интеграционные эндпоинты ограничены по частоте (rate limit) одновременно по API-ключу и IP. При превышении возвращается 429 Too Many Requests — повторите запрос позже с учётом заголовка Retry-After. Подробнее в разделе коды ошибок.
Ротация ключей
Ключ и секрет можно перевыпустить в кабинете в любой момент. После ротации старый ключ сразу перестаёт действовать — обновите значение в переменных окружения вашего сервиса.