Добавляем платежную систему FreeKassa в проект на Go

[koleso_O]

Я бы не рекомендовал опираться на колбэки по нескольким причинам:

1) злоумышленник может подменить запрос (ему удалось каким-либо образом получить секретные ключи)

2) нет гарантий, что внешний сервис нормально ретраит колбэк-запросы, может возникнуть ситуация, когда вы не узнаете о финальном статусе платежа

Выход, на мой взгляд, только 1 - фоновый поллинг со своей стороны

[erebmaethor]

Ещё можно применить вебсокеты. И не только их, масса вариантов.
Возможность взаимодействия с системой "не вебхуками", кстати, очень облегчает разработку и отладку. Не надо со всякими ngrok'ами возиться и вечно перенастраивать URL вебхуков "на той стороне".

[erebmaethor]

Почему md5? Есть же много нормальной стойкой криптографии.
Как минимум нужно использовать другую хеш-функцию. А лучше нормальную цифровую подпись на основе RSA. Это ведь делается элементарно, можно приспособить уже готовые библиотеки для JWT, которые, наверно, для любого распространённого языка есть.