Для разработчиков

Подключение оплаты подписки через Afinapay

Приложение выбирает тариф, серверная часть создаёт оплату через Afinapay, пользователь проходит страницу оплаты у подключённого платёжного провайдера и возвращается в приложение. Доступ открывается после подтверждения оплаты на серверной стороне.

1. Приложение передаёт выбранный тариф в вашу серверную часть.
2. Серверная часть создаёт оплату в Afinapay и получает ссылку.
3. Пользователь оплачивает и возвращается в приложение по Universal/App Link.
4. Серверная часть получает уведомление об оплате и открывает доступ.

Что настроить

Откройте Магазины → нужный магазин → Интеграция.
Сохраните URL-адрес для уведомлений, например https://app.merchant.example/api/webhooks/afinapay.
Создайте Ключ для сервера и Секретный ключ.
Сохраните оба значения на серверной стороне.
Подготовьте стабильный идентификатор тарифа, например premium_access.

Ключ для сервера и секретный ключ храните только на серверной стороне.

Что делает приложение

Пользователь нажимает кнопку подписки.
Приложение вызывает вашу серверную часть.
Серверная часть создаёт оплату и возвращает ссылку.
Приложение открывает ровно redirectUrl или checkoutUrl из ответа.
После возврата приложение показывает экран “Проверяем оплату”.
Доступ открывается после ответа вашей серверной части.

Не пересобирайте ссылку вручную, не пропускайте её через GET form и не меняйте query string перед открытием.

Что сохранить у себя

externalOrderId как ключ вашего заказа.
externalCustomerId как ключ пользователя в вашем приложении.
Связь между externalOrderId, пользователем и локальным доступом.
order.id и paymentSession.id из ответа Afinapay для диагностики.

Что читать в уведомлении

Для оплаты: payload.order.externalOrderId.
Для подписки: payload.customer.externalCustomerId.
Резервно для подписки: payload.subscription.externalCustomerId.
Возвращайте 2xx только после того, как статус реально сохранён у вас.

Частые ошибки

Клиент открывает не тот URL, который вернул Afinapay.
Приложение или redirect helper очищает query string.
Обработчик отвечает 200, но не записывает новый статус.
Статусный endpoint читает другой ключ или другое хранилище.
Уведомление и экран результата работают в разных окружениях.

Примеры кода

Выберите язык и используйте готовые фрагменты для создания оплаты и приёма уведомлений.

Создание оплаты

import express from 'express';

const app = express();
app.use(express.json());

app.post('/api/create-subscription-checkout', async (req, res) => {
  const response = await fetch('https://afinapay.ru/sdk/subscriptions/checkout-sessions', {
    method: 'POST',
    headers: {
      'Content-Type': 'application/json',
      Authorization: `Bearer ${process.env.AFINAPAY_TOKEN}`
    },
    body: JSON.stringify({
      externalPlan: {
        externalPlanKey: 'premium_access',
        name: 'Премиум-доступ',
        amount: 990,
        currency: 'RUB',
        billingPeriod: 'month',
        billingInterval: 1
      },
      externalOrderId: req.body.orderId,
      externalCustomerId: req.body.customerId,
      merchantReturnUrl: 'myapp://payments/subscription-result'
    })
  });

  const checkout = await response.json();
  res.status(response.status).json(checkout);
});

import Foundation

struct CheckoutRequest: Encodable {
  let externalPlan: ExternalPlan
  let externalOrderId: String
  let externalCustomerId: String
  let merchantReturnUrl: String
}

struct ExternalPlan: Encodable {
  let externalPlanKey: String
  let name: String
  let amount: Int
  let currency: String
  let billingPeriod: String
  let billingInterval: Int
}

var request = URLRequest(url: URL(string: "https://afinapay.ru/sdk/subscriptions/checkout-sessions")!)
request.httpMethod = "POST"
request.setValue("application/json", forHTTPHeaderField: "Content-Type")
request.setValue("Bearer \(ProcessInfo.processInfo.environment["AFINAPAY_TOKEN"] ?? "")", forHTTPHeaderField: "Authorization")
request.httpBody = try JSONEncoder().encode(
  CheckoutRequest(
    externalPlan: ExternalPlan(
      externalPlanKey: "premium_access",
      name: "Премиум-доступ",
      amount: 990,
      currency: "RUB",
      billingPeriod: "month",
      billingInterval: 1
    ),
    externalOrderId: orderId,
    externalCustomerId: customerId,
    merchantReturnUrl: "myapp://payments/subscription-result"
  )
)

let (data, response) = try await URLSession.shared.data(for: request)

import okhttp3.MediaType.Companion.toMediaType
import okhttp3.OkHttpClient
import okhttp3.Request
import okhttp3.RequestBody.Companion.toRequestBody

val body = """
{
  "externalPlan": {
    "externalPlanKey": "premium_access",
    "name": "Премиум-доступ",
    "amount": 990,
    "currency": "RUB",
    "billingPeriod": "month",
    "billingInterval": 1
  },
  "externalOrderId": "$orderId",
  "externalCustomerId": "$customerId",
  "merchantReturnUrl": "myapp://payments/subscription-result"
}
""".trimIndent()

val request = Request.Builder()
  .url("https://afinapay.ru/sdk/subscriptions/checkout-sessions")
  .addHeader("Authorization", "Bearer ${System.getenv("AFINAPAY_TOKEN")}")
  .post(body.toRequestBody("application/json".toMediaType()))
  .build()

val response = OkHttpClient().newCall(request).execute()

import os
import requests

payload = {
    "externalPlan": {
        "externalPlanKey": "premium_access",
        "name": "Премиум-доступ",
        "amount": 990,
        "currency": "RUB",
        "billingPeriod": "month",
        "billingInterval": 1,
    },
    "externalOrderId": order_id,
    "externalCustomerId": customer_id,
    "merchantReturnUrl": "myapp://payments/subscription-result",
}

response = requests.post(
    "https://afinapay.ru/sdk/subscriptions/checkout-sessions",
    headers={
        "Authorization": f"Bearer {os.environ['AFINAPAY_TOKEN']}",
        "Content-Type": "application/json",
    },
    json=payload,
    timeout=15,
)

checkout = response.json()

<?php

$payload = [
    'externalPlan' => [
        'externalPlanKey' => 'premium_access',
        'name' => 'Премиум-доступ',
        'amount' => 990,
        'currency' => 'RUB',
        'billingPeriod' => 'month',
        'billingInterval' => 1,
    ],
    'externalOrderId' => $orderId,
    'externalCustomerId' => $customerId,
    'merchantReturnUrl' => 'myapp://payments/subscription-result',
];

$ch = curl_init('https://afinapay.ru/sdk/subscriptions/checkout-sessions');
curl_setopt_array($ch, [
    CURLOPT_POST => true,
    CURLOPT_RETURNTRANSFER => true,
    CURLOPT_HTTPHEADER => [
        'Authorization: Bearer ' . getenv('AFINAPAY_TOKEN'),
        'Content-Type: application/json',
    ],
    CURLOPT_POSTFIELDS => json_encode($payload, JSON_UNESCAPED_UNICODE),
]);

$body = curl_exec($ch);
$checkout = json_decode($body, true);

Проверка уведомления

import crypto from 'node:crypto';

app.post('/api/webhooks/afinapay', express.text({ type: '*/*' }), (req, res) => {
  const signatureHeader = req.header('x-afinapay-signature') ?? '';
  const timestamp = req.header('x-afinapay-signature-timestamp') ?? '';
  const signature = signatureHeader.startsWith('v1=') ? signatureHeader.slice(3) : '';
  const expected = crypto
    .createHmac('sha256', process.env.AFINAPAY_WEBHOOK_SECRET ?? '')
    .update(`${timestamp}.${req.body}`, 'utf8')
    .digest('hex');

  if (!signature || signature !== expected) {
    res.status(401).json({ error: 'invalid signature' });
    return;
  }

  const event = JSON.parse(req.body);

  if (event.type === 'subscription.activated') {
    // Откройте доступ пользователю на своей серверной стороне.
  }

  res.json({ ok: true });
});

import CryptoKit
import Foundation

func verifyAfinapayWebhook(rawBody: String, timestamp: String, signatureHeader: String, secret: String) -> Bool {
  guard signatureHeader.hasPrefix("v1=") else { return false }
  let signature = String(signatureHeader.dropFirst(3))
  let payload = Data("\(timestamp).\(rawBody)".utf8)
  let key = SymmetricKey(data: Data(secret.utf8))
  let digest = HMAC<SHA256>.authenticationCode(for: payload, using: key)
  let expected = digest.map { String(format: "%02x", $0) }.joined()
  return signature == expected
}

if event.type == "subscription.activated" {
  // Откройте доступ пользователю на своей серверной стороне.
}

import javax.crypto.Mac
import javax.crypto.spec.SecretKeySpec

fun verifyAfinapayWebhook(rawBody: String, timestamp: String, signatureHeader: String, secret: String): Boolean {
  if (!signatureHeader.startsWith("v1=")) return false
  val signature = signatureHeader.removePrefix("v1=")
  val mac = Mac.getInstance("HmacSHA256")
  mac.init(SecretKeySpec(secret.toByteArray(), "HmacSHA256"))
  val expected = mac.doFinal("$timestamp.$rawBody".toByteArray()).joinToString("") { "%02x".format(it) }
  return signature == expected
}

if (event.type == "subscription.activated") {
  // Откройте доступ пользователю на своей серверной стороне.
}

import hashlib
import hmac
import json
import os

def verify_afinapay_webhook(raw_body: str, timestamp: str, signature_header: str) -> bool:
    if not signature_header.startswith("v1="):
        return False
    signature = signature_header[3:]
    payload = f"{timestamp}.{raw_body}".encode("utf-8")
    expected = hmac.new(
        os.environ["AFINAPAY_WEBHOOK_SECRET"].encode("utf-8"),
        payload,
        hashlib.sha256,
    ).hexdigest()
    return hmac.compare_digest(signature, expected)

event = json.loads(raw_body)
if event["type"] == "subscription.activated":
    # Откройте доступ пользователю на своей серверной стороне.
    pass

<?php

function verifyAfinapayWebhook(string $rawBody, string $timestamp, string $signatureHeader, string $secret): bool
{
    if (!str_starts_with($signatureHeader, 'v1=')) {
        return false;
    }

    $signature = substr($signatureHeader, 3);
    $expected = hash_hmac('sha256', $timestamp . '.' . $rawBody, $secret);

    return hash_equals($expected, $signature);
}

$event = json_decode($rawBody, true);
if (($event['type'] ?? null) === 'subscription.activated') {
    // Откройте доступ пользователю на своей серверной стороне.
}

Клиент открывает ровно redirectUrl или checkoutUrl из ответа. Сервер сохраняет связь между вашим пользователем и externalOrderId.

После возврата в приложение

Возврат по deep link нужен только для перехода пользователя обратно в приложение.
Экран после возврата должен показывать “Проверяем оплату”.
Приложение спрашивает статус у вашей серверной части.
Серверная часть подтверждает результат после уведомления об оплате или серверной проверки статуса.
Только после этого открывайте доступ пользователю.