Skip to main content
DELETE
/
trading
/
oa
/
sub-accounts
/
{subAccountId}
/
orders
/
{orderId}
cURL
BODY='{"sub_account":"120C000008.1"}'
BODY_HASH=$(printf '%s' "$BODY" | openssl dgst -sha256 -hex | awk '{print $2}')

curl -X DELETE \
  -H "X-FH-APIKEY: $FINHAY_API_KEY" \
  -H "X-FH-TIMESTAMP: $TIMESTAMP_MS" \
  -H "X-FH-NONCE: $NONCE_UUID" \
  -H "X-FH-SIGNATURE: $SIGNATURE_HEX" \
  -H "X-FH-BODYHASH: $BODY_HASH" \
  -H "X-FH-2FA-TOKEN: $FINHAY_2FA_TOKEN" \
  -H "Content-Type: application/json" \
  -d "$BODY" \
  "https://open-api.fhsc.com.vn/trading/oa/sub-accounts/$SUB_ACCOUNT_NORMAL/orders/ORD123456"
{
  "error_code": "0",
  "message": "success",
  "result": [
    {
      "order_id": "ORD123456",
      "account_id": "120C000008.1",
      "transaction_date": "2026-05-28",
      "symbol": "HPG",
      "order_side": "BUY",
      "order_quantity": 100,
      "limit_price": 25500,
      "market_price": null,
      "execute_quantity": 0,
      "execute_price": 0,
      "order_status": "CANCELLED",
      "fee_amount": 0,
      "tax_amount": 0,
      "execute_amount": 0,
      "order_type": "LO",
      "code": null,
      "rejected_reason": null,
      "lot": "EVEN"
    }
  ]
}

Authorizations

X-FH-APIKEY
string
header
required

API key dài hạn của client. Cấu hình 1 lần lúc khởi tạo; có thể wire thẳng vào static setter của SDK tự-gen. Đi kèm với FINHAY_API_SECRET — secret này chỉ dùng ở phía client để tính X-FH-SIGNATURE, không bao giờ gửi qua mạng.

X-FH-TIMESTAMP
string
header
required

Unix time hiện tại tính bằng milliseconds, đưới dạng chuỗi số thập phân.

Được tính per-request bởi signing middleware. Không set thủ công — dùng middleware mẫu trong README.

X-FH-NONCE
string
header
required

UUIDv4 duy nhất per-request (ví dụ crypto.randomUUID()). Server cache cặp (apiKey, nonce) trong 5 phút; nếu nonce được reuse với cùng apiKey trong window này, request sẽ bị từ chối với AUTH_NONCE_REUSED (401).

Server chấp nhận chuỗi opaque bất kỳ về mặt kỹ thuật, nhưng nên dùng UUIDv4 để đảm bảo tính unique.

Được tính per-request bởi signing middleware. Không set thủ công — xem middleware mẫu trong tài liệu Authentication.

X-FH-SIGNATURE
string
header
required

HMAC-SHA256 của canonical signing payload, encode hex (lowercase).

Signing payload:

{X-FH-TIMESTAMP}\n{METHOD}\n{REQUEST_PATH}[?{QUERY}]\n{BODYHASH}
  • ?{QUERY} chỉ nối vào path khi request có query string.
  • {BODYHASH} là chuỗi rỗng khi body rỗng (vẫn không có newline sau đó).

Được tính per-request bởi signing middleware. Không set thủ công — dùng middleware mẫu trong README.

X-FH-BODYHASH
string
header
required

SHA-256 của raw request body, encode hex (lowercase). Bắt buộc khi request có body (POST / PUT / PATCH). Có thể bỏ qua — hoặc gửi chuỗi rỗng — khi body rỗng.

Là segment cuối của canonical signing payload ({timestamp}\n{method}\n{path}[?{query}]\n{bodyHash}). Server dùng giá trị client gửi lên để verify chữ ký; server không tự hash lại body, nên client phải hash đúng chuỗi bytes đã gửi đi.

Được tính per-request bởi signing middleware. Không set thủ công — xem middleware mẫu trong tài liệu Authentication.

X-FH-2FA-TOKEN
string
header
required

Daily 2FA session JWT do server cấp sau khi user xác thực qua OTP. Áp dụng cho các write operation nhạy cảm (đặt / sửa / huỷ lệnh) — phải đi cùng đủ 4 header HMAC + X-FH-BODYHASH.

Token có tuổi thọ 1 ngày giao dịch và được scope theo apiKey. Khi hết hạn hoặc bị revoke, server trả HTTP 403 với 1 trong các error_code:

  • OTP_SESSION_REQUIRED — chưa có session, cần khởi tạo OTP flow.
  • OTP_SESSION_EXPIRED — session đã hết hạn.
  • OTP_SESSION_INVALID — token không hợp lệ / chữ ký sai.
  • OTP_SESSION_REVOKED — bị thu hồi (user logout, đổi key, …).

Khi gặp 403 thuộc các mã trên, client phải chạy lại OTP flow để xin token mới rồi retry request.

Path Parameters

subAccountId
string
required

subAccountId được lấy từ bootstrap flow (GET /users/v1/users/{userId}/sub-accounts), chọn NORMAL hoặc MARGIN tuỳ mục đích.

Example:

"0001234567"

orderId
string
required

ID lệnh trên sàn — lấy từ field order_id trong response của POST /trading/oa/sub-accounts/{subAccountId}/orders (Place Order) hoặc từ GET /trading/v1/accounts/{subAccountId}/order-book (sổ lệnh trong ngày). Bắt buộc khi sửa hoặc huỷ lệnh.

Example:

"ORD123456"

Body

application/json

Body của request huỷ lệnh (DELETE /trading/oa/sub-accounts/{subAccountId}/orders/{orderId}).

⚠️ Đây là DELETE request có body — không chuẩn HTTP nhưng là contract thật của upstream. Client phải tính X-FH-BODYHASH từ body này.

Chỉ huỷ được khi trạng thái lệnh thuộc SENT, WAITING_TO_SEND, SENDING. Với lệnh đã khớp một phần, huỷ chỉ áp dụng cho phần unmatched.

sub_account
string
required

Sub-account ID dạng extended (kèm hậu tố .1 / .6 …) — cùng giá trị dùng cho sub_account trong place-order.

Example:

"120C000008.1"

Response

Server đã xử lý request. Phải đọc result[].order_status để xác nhận lệnh đã được huỷ (CANCELLED) hoặc result[].code để biết lý do nếu huỷ thất bại.

Các field chung của envelope trong mọi response của Finhay API.

  • error_code"0" (string) khi thành công, mã khác "0" khi lỗi.
  • message là thông điệp ngắn từ server.
result
object[]
required

Mảng kết quả — thông thường chứa đúng 1 entry phản ánh trạng thái lệnh sau khi huỷ. order_status thường là CANCELLED (huỷ toàn bộ) hoặc giữ nguyên kèm phần execute_quantity cũ nếu lệnh đã khớp một phần (chỉ huỷ phần unmatched).

error_code
string

"0" khi thành công, khác "0" khi lỗi.

Example:

"0"

message
string

Thông điệp trạng thái dễ đọc.

Example:

"success"