Приветствую сообщество.
Бот Telegram @wallet недавно предоставил API для приема платежей в сторонних Telegram ботах. Из крипто валют поддерживаются BTC, TON, USDT.
Необходимо зарегистрироваться на сайте, предоставить сведения о подключаемом к API боте, пройти процедуру идентификации (биометрия для физических лиц), дождаться одобрения заявки и назначения размера комиссии для ваших платежей. У меня процедура заняла чуть более суток.
После одобрения заявки получаете доступ в личный кабинет, где нужно сгенерировать ключ для доступа к API WalletPay.
После этого можно приступать к продажам. Покупателю нужно предоставить ссылку для оплаты через WalletPay товаров/услуг вашего бота. Код для получения этой ссылки может быть таким.
import requests
def get_pay_link():
headers = {
'Wpay-Store-Api-Key': 'YOUR-API-KEY',
'Content-Type': 'application/json',
'Accept': 'application/json',
}
payload = {
'amount': {
'currencyCode': 'USD', # выставляем счет в долларах США
'amount': '1.00',
},
'description': 'Goods and service.',
'externalId': 'XXX-YYY-ZZZ', # ID счета на оплату в вашем боте
'timeoutSeconds': 60 * 60 * 24, # время действия счета в секундах
'customerTelegramUserId': '999666999', # ID аккаунта Telegram покупателя
'returnUrl': 'https://t.me/mybot', # после успешной оплаты направить покупателя в наш бот
'failReturnUrl': 'https://t.me/wallet', # при отсутствии оплаты оставить покупателя в @wallet
}
response = requests.post(
"https://pay.wallet.tg/wpay/store-api/v1/order",
json=payload, headers=headers, timeout=10
)
data = response.json()
if (response.status_code != 200) or (data['status'] not in ["SUCCESS", "ALREADY"]):
logging.warning("# code: %s json: %s", response.status_code, data)
return ''
return data['data']['payLink']
Счет можно выставлять в долларах США, евро или рублях. Пересчет в BTC, TON, USDT будет выполнен по курсу WalletPay.
Для подтверждения факта оплаты счета, WalletPay предоставляет две опции:
периодический опрос состояния счета с вашей стороны
POST-запрос на указанный вами в личном кабинете
httpsадрес (webhook в терминах WalletPay)
Я использовал второй вариант. Код обработчика вебхука может быть таким.
from flask import Flask, request
app = Flask(__name__)
@app.route('/tgwallet/ipn', methods=['POST'])
def ipn_tgwallet():
for event in request.get_json():
if event["type"] == "ORDER_PAID":
data = event["payload"]
print("Оплачен счет N {} на сумму {} {}. Оплата {} {}.".format(
data["externalId"], # ID счета в вашем боте, который мы указывали при создании ссылки для оплаты
data["orderAmount"]["amount"], # Сумма счета, указанная при создании ссылки для оплаты
data["orderAmount"]["currencyCode"], # Валюта счета
data["selectedPaymentOption"]["amount"]["amount"], # Сколько оплатил покупатель
data["selectedPaymentOption"]["amount"]["currencyCode"] # В какой криптовалюте
))
# нужно всегда возвращать код 200, чтобы WalletPay не делал повторных вызовов вебхука
return 'OK'
Прежде чем передавать оплаченный товар или услугу, нужно убедиться, что вызов вебхука пришел из WalletPay, а не от злоумышленников, жаждущих заполучить наш товар бесплатно.
Для этого WalletPay предлагает две опции:
проверка принадлежности IP вызова к пулу IP адресов WalletPay
проверка хеша, вычисленного на основе данных вызова вебхука и вашего ключа API
Список IP адресов WalletPay можно найти в документации, а для проверки хеша можно использовать следующий код.
import base64, hashlib, hmac
ENCODING = 'utf-8'
def is_valid(flask_request):
text = '.'.join([
flask_request.method, # 'POST'
flask_request.path, # нужно использовать часть адреса без имени домена, '/tgwallet/ipn' в нашем случае
flask_request.headers.get('WalletPay-Timestamp'),
base64.b64encode(flask_request.get_data()).decode(ENCODING),
])
signature = base64.b64encode(hmac.new(
bytes('YOUR-API-KEY', ENCODING),
msg=bytes(text, ENCODING),
digestmod=hashlib.sha256
).digest())
return flask_request.headers.get('Walletpay-Signature') == signature.decode(ENCODING)
Затем использовать функцию is_valid для проверки в обработчике вебхука.
Спасибо за внимание.
