HSRCPAY Dökümantasyon

Webhook Delivery ve Güvenlik

Webhook kayıt, event filtreleme, imza doğrulama ve retry stratejisi.

Webhook katmanı, ödeme sonucunu dış sistemlere güvenilir şekilde iletmek için kullanılır.

Webhook yapılandırması

  • Endpoint URL
  • Etkin event listesi
  • İmza doğrulama için secret

secret alanı gönderilmediğinde platform tarafında üretilen bir imza anahtarı modeli kullanılabilir. En iyi pratik, üretimde secret'ı açıkça yönetmek ve düzenli rotasyon yapmaktır.

Bu yapı ile yalnızca ihtiyaç duyulan eventler hedef sisteme iletilir.

Delivery yaşam döngüsü

Tipik bir delivery kaydı:

  • CREATED
  • IN_PROGRESS
  • SUCCESS veya FAILED

Başarısız denemeler için delivery-attempt kayıtları ve yeniden deneme penceresi ayrı tutulur.

Retry ve dayanıklılık

  • Ağ hataları ve belirli HTTP hata kodları için retry uygulanır.
  • Backoff yaklaşımı kademeli olarak büyütülür.
  • Maksimum deneme sonrası event başarısız olarak işaretlenir ve alarm üretilir.

Güvenlik gereksinimleri

  • Webhook endpoint mutlaka HTTPS olmalı.
  • Gelen payload imzası doğrulanmalı.
  • Aynı event tekrar geldiğinde idempotent işleme uygulanmalı.
  • Hassas veri endpoint yanıtlarında/loglarda maskelenmeli.

Uygulama modeli

  1. Event alınır.
  2. İmza doğrulanır.
  3. Event kimliği ile tekrar kontrolü yapılır.
  4. Domain state güncellenir.
  5. Başarılı 2xx yanıt dönülür.

Hesap kapsamı ve yetki

  • Webhook konfigürasyonları hesap kapsamlıdır.
  • Listeleme/oluşturma/güncelleme/silme işlemleri hesap yetkisi ile korunmalıdır.
  • Çoklu hesap yöneten ekiplerde yanlış endpoint eşleşmelerine karşı operasyonel kontrol listesi tutulmalıdır.

Routing Strategy Derinlemesine

Sağlayıcı seçim stratejileri, candidate sıralaması ve fallback davranışı.

Request Trace ve İzlenebilirlik

İstekten işleme kadar request id, trace id ve operasyonel takip yaklaşımı.

On this page

Webhook yapılandırmasıDelivery yaşam döngüsüRetry ve dayanıklılıkGüvenlik gereksinimleriUygulama modeliHesap kapsamı ve yetki