Загружаем 1ОПД
Подготавливаем страницу…
API Reference — 1ОПД v2
REST-эндпоинты, аутентификация, HMAC, Origin/IP whitelist, multi-form через forms_scope, коды ошибок.
База
- Базовый URL:
https://v2.1opd.ru/api/v2 - Все запросы — POST с JSON-телом (кроме
get-user, см. ниже). - Аутентификация — заголовок
API-KEY. - Для server-side ключей — опционально
API-SIGNиAPI-TIMESTAMP(HMAC). - Ответ — JSON с полем
ok: true/false. В случае ошибки добавляетсяreason(на русском).
Создать ключ для своего сайта → ваш ЛК 1ОПД.
Какую защиту выбрать
Самая частая ошибка интеграторов — выпустить ключ без защиты или выбрать защиту, неподходящую под клиента (например, IP whitelist для Tilda — у посетителей разные IP). Сверьтесь с таблицей:
| Тип клиента | Ключ | Защита | Гайд |
|---|---|---|---|
| Браузерный JS — Tilda, лендинги, статичный HTML | pk_ | Origin whitelist (allowed_origins) | Открыть → |
| SPA — React / Vue / Next.js client-side | pk_ | Origin whitelist + wildcard *.domain.ru на поддомены | Открыть → |
| Server-side на static IP — VPS / bare-metal (PHP, Node, Python, WordPress hook) | sk_ | IP whitelist | Открыть → |
| Контейнеры / serverless — Docker, k8s, Cloud Run, Lambda | sk_ | HMAC-подпись | Открыть → |
| Bitrix CMS / Bitrix24 CRM (PHP-hook) | sk_ | IP whitelist (опционально + HMAC) | Открыть → |
| Параноидальный режим — фиксированный IP + защита от утечки ключа | sk_ | IP whitelist + HMAC одновременно | Открыть → |
Аутентификация
Все запросы должны содержать заголовок API-KEY с вашим ключом из ЛК 1ОПД.
pk_ — publishable
Безопасно публиковать в HTML/JS. Защита через allowed_origins. Для Tilda, WordPress JS, статичных сайтов, SPA.
sk_ — secret
Только server-side. IP whitelist или HMAC. Для PHP / Node.js / Python / Bitrix / WordPress hook.
POST /api/v2/create-agreement
Основной endpoint: создаёт запись согласия. Доступен для pk_ и sk_ (требует право create).
Body
form_id(number) — ID формы. Опционально для single-form ключей, обязательно приforms_scope.hash_field(string, required) — значение поля-идентификатора (обычно email или phone).fields(array of {field, value}, required) — все поля формы.
Request — single-form
POST /api/v2/create-agreement HTTP/1.1
Host: v2.1opd.ru
API-KEY: pk_xxxxxxxxxxxxxxxxxxxx
Content-Type: application/json
{
"form_id": 1,
"hash_field": "user@example.com",
"fields": [
{ "field": "email", "value": "user@example.com" },
{ "field": "name", "value": "Иван Иванов" },
{ "field": "phone", "value": "+79991234567" }
]
}Request — multi-form (1 ключ + form_id в body)
POST /api/v2/create-agreement HTTP/1.1
Host: v2.1opd.ru
API-KEY: pk_xxxxxxxxxxxxxxxxxxxx
Content-Type: application/json
# Один ключ с forms_scope=[1,2,5] обслуживает все формы сайта.
# form_id в body выбирает конкретную форму:
{
"form_id": 2,
"hash_field": "user@example.com",
"fields": [
{ "field": "email", "value": "user@example.com" }
]
}Response 200
HTTP/1.1 200 OK
Content-Type: application/json
{
"ok": true,
"hash": "a1b2c3d4e5f6...",
"created_at": "2026-05-16T10:23:11Z"
}POST /api/v2/get-fields
Получить схему формы. Полезно для динамической генерации форм или валидации перед отправкой.
Request
POST /api/v2/get-fields HTTP/1.1
Host: v2.1opd.ru
API-KEY: pk_xxxxxxxxxxxxxxxxxxxx
Content-Type: application/json
{ "form_id": 1 }Response 200
HTTP/1.1 200 OK
Content-Type: application/json
{
"ok": true,
"form_id": 1,
"fields": [
{ "field": "email", "required": true, "hash": true },
{ "field": "name", "required": true, "hash": false },
{ "field": "phone", "required": false, "hash": false }
]
}POST /api/v2/get-user
Получить запись по hash. Требует право read. Параметры — в query-string (совместимость с v1).
Request + Response
POST /api/v2/get-user?API-KEY=sk_xxx&hash=a1b2c3...
# Ответ:
{
"ok": true,
"hash": "a1b2c3...",
"form_id": 1,
"fields": [
{ "field": "email", "value": "user@example.com" },
{ "field": "name", "value": "Иван Иванов" }
],
"created_at": "2026-05-16T10:23:11Z"
}POST /api/v2/delete-user
Удалить запись по hash. Требует право delete. Для обработки запросов субъектов ПДн на удаление (статья 21 ФЗ-152).
Request + Response
POST /api/v2/delete-user HTTP/1.1
Host: v2.1opd.ru
API-KEY: sk_xxxxxxxxxxxxxxxxxxxx
Content-Type: application/json
{ "hash": "a1b2c3..." }
# Ответ:
{ "ok": true, "deleted": true }HMAC-подпись
Опциональный механизм для sk_. Защищает от компрометации ключа и replay-атак.
Алгоритм HMAC
# Псевдокод:
ts = str(int(time.time())) # unix timestamp, секунды
body_bytes = json.dumps(payload).encode() # тело как байты
secret = base64.b64decode(secret_b64) # секрет из ЛК — base64 → bytes
sign = base64.b64encode(
hmac.new(secret, ts.encode() + b"\n" + body_bytes, "sha256").digest()
).decode()
# Заголовки:
# API-KEY: sk_xxx
# API-SIGN: <base64 от HMAC>
# API-TIMESTAMP: <ts>- Алгоритм: HMAC-SHA256.
- Сообщение:
ts + "\n" + body_bytes. - Ключ HMAC:
base64_decode(secret_b64)— секрет хранится в base64, в HMAC подаётся как bytes. - Кодирование подписи: base64.
- Заголовки:
API-SIGN,API-TIMESTAMP. - Replay-window: ±300 секунд.
Origin whitelist (allowed_origins)
Для pk_. Если массив allowed_origins не пуст — проверяется заголовок Origin(или host из Referer).
- Формат: только host, без
https://и порта. Например:example.com,www.example.com. - Wildcard на первый сегмент:
*.example.comподходит дляshop.example.com, но не для самогоexample.com. - Запрос без Origin/Referer (curl, Postman без заголовка) отклоняется с 403.
IP whitelist
Для sk_. Список IPv4/IPv6 адресов или CIDR-сетей, с которых разрешён вызов.
- Узнать внешний IP сервера:
curl ifconfig.me(исходящий, не входящий). - Поддерживаются CIDR:
10.0.0.0/24,2001:db8::/32. - Если сервер за CDN/прокси — добавляйте IP исходящих запросов от вашего бэкенда (не IP CDN).
- Не подходит для серверов с динамическим IP — используйте HMAC.
forms_scope — multi-form ключи
У ключа можно указать forms_scope — JSON-массив form_id, с которыми он работает. Дефолтная и рекомендуемая модель для сайтов с несколькими формами:
Пример
// Ключ pk_abc с forms_scope: [1, 2, 5]
// Запрос с form_id=1 — OK
// Запрос с form_id=2 — OK
// Запрос с form_id=3 — 403 "Форма не разрешена ключом"Если forms_scope пуст — ключ single-form: form_id в body не обязателен (берётся из метаданных ключа). Если задан — form_id в body обязателен.
Коды ошибок и reason-строки
В случае ошибки ответ имеет вид:
Error
{ "ok": false, "reason": "Неверный API-ключ" }| HTTP | Reason | Когда возникает |
|---|---|---|
| 401 | Неверный API-ключ | Ключа нет в базе или он отозван. |
| 401 | Подпись не совпадает | HMAC-проверка не прошла — проверьте, что байты body для подписи и для отправки идентичны. |
| 401 | Timestamp устарел | Разница между API-TIMESTAMP и серверным временем больше 300 секунд. |
| 403 | Origin не в whitelist | Заголовок Origin (или хост Referer) не совпадает ни с одним из allowed_origins ключа. |
| 403 | IP не в whitelist | Источник запроса не входит в IP-whitelist ключа (для server-side). |
| 403 | Форма не разрешена ключом | У ключа задан forms_scope, и form_id из body не входит в этот список. |
| 400 | Не указано обязательное поле hash_field | Поле hash_field отсутствует или пустое. |
| 400 | Отсутствует обязательное поле формы | В fields нет одного из полей, помеченных required в схеме формы. |
| 400 | Невалидный JSON | Тело запроса не парсится как JSON. |
| 404 | Запись не найдена | Для get-user / delete-user — по hash ничего нет. |
| 429 | Превышен rate-limit | Слишком много запросов с одного ключа. Подождите и повторите. |
Тесты в Postman/Insomnia
Самый быстрый способ убедиться, что ключ работает — отправить запрос на create-agreement с тестовыми данными. В ЛК сразу появится новая запись. Для pk_ ключа вручную добавьте заголовок Origin с одним из разрешённых доменов — Postman сам его не подставляет.
Вопросы по API, кастомные права на ключе, кастомные интеграции — пишите на info@1opd.ru или открывайте ЛК → Интеграция — там персональные snippet'ы с уже подставленными ключами.