Webhooks
Webhooks bieten echtzeitnahe, ereignisgesteuerte Benachrichtigungen für kritische Updates im Zahlungslebenszyklus. Die Webhooks von Cardflo ermöglichen es Ihren Systemen, sofort auf Zahlungsstatus, Streitigkeiten und andere wichtige Ereignisse zu reagieren.
Automatisieren Sie Workflows und halten Sie die Synchronisation zwischen Ihrer Plattform und Cardflo ohne ständiges Abfragen aufrecht.
- Kategorie
- Entwickler
- Funktionen
- 10
- Verfügbar auf
- Alle Pläne
Der Überblick
Webhooks funktionieren als asynchrone HTTP-Callbacks, die eine Echtzeitkommunikation zwischen einem Zahlungsgateway und einem Händlerserver ermöglichen.
Im Gegensatz zu traditionellen Polling-Methoden, bei denen ein Server wiederholte Anfragen sendet, um Statusaktualisierungen zu prüfen, pushen Webhooks Daten an eine vordefinierte URL, sobald ein bestimmtes Ereignis innerhalb des Zahlungslebenszyklus eintritt. Dieser Mechanismus ist entscheidend für die Verwaltung nicht-synchroner Ereignisse, wie z.
B. Ergebnisse der 3-D Secure-Authentifizierung, asynchrone Abschlüsse alternativer Zahlungsmethoden (APM) oder den Empfang einer Rückbuchung.
Innerhalb des Zahlungsstacks fungieren Webhooks als verbindendes Element zwischen dem Acquirer oder PSP und dem internen Auftragsverwaltungssystem (OMS) oder der Umsatzmanagementplattform des Händlers. Sie stellen sicher, dass die nachfolgende Logik, wie z.
B. Bestandsfixierung oder digitale Berechtigungsvergabe, ohne Latenz oder unnötigen API-Overhead korrekt bleibt.
Eine ordnungsgemäße Implementierung erfordert eine robuste Handhabung von HTTP-Statuscodes und Idempotenz, um potenzielle Wiederholungen vom sendenden Server zu verwalten und sicherzustellen, dass jedes Ereignis genau einmal verarbeitet wird.
Wie es funktioniert
Endpunkt und Ereignisse definieren
Ein Händler gibt eine Ziel-URL in seiner Umgebung an, um POST-Anfragen zu empfangen. Er wählt spezifische Ereignisauslöser aus dem Zahlungslebenszyklus aus, wie z.
B. Autorisierungserfolg, Rückerstattungsinitiierung oder Streitigkeitserstellung.
Dies stellt sicher, dass sein System nur relevante Datenpakete verarbeitet, was die unnötige Serverlast reduziert und die Integrationspunkte fokussiert und handhabbar hält.
Ereignisauslöser und Payload
Wenn eine Statusänderung auftritt, z. B.
wenn ein Kunde eine SCA-Challenge abgeschlossen hat, generiert das System eine JSON-Payload. Diese Payload enthält strukturierte Daten, einschließlich der Transaktions-ID, der Händler-ID (MID), des Betrags und des spezifischen Ereignistyps.
Das Gateway versucht dann, diese Daten an den registrierten Endpunkt zu liefern.
Sicherheit und Signaturprüfung
Um unbefugte Dateneinschleusung zu verhindern, wird die Payload typischerweise mit einem geheimen Schlüssel signiert. Der Händlerserver rekonstruiert die Signatur unter Verwendung des rohen Anfragetextes und vergleicht sie mit dem Header.
Diese Verifizierung stellt sicher, dass die Daten aus der vertrauenswürdigen Quelle stammen und während des Transports nicht manipuliert wurden.
Bestätigen und Verarbeiten
Der Händlerserver muss umgehend einen 200 OK-Statuscode zurückgeben, um den Empfang zu bestätigen. Interne Logik wird dann ausgeführt, wie z.
B. das Aktualisieren eines Datenbankeintrags oder das Auslösen einer automatischen E-Mail.
Wenn der Server offline ist oder einen Fehler zurückgibt, folgt das Zustellsystem einem programmierten Wiederholungsplan, um die Datenkonsistenz sicherzustellen.
Warum es wichtig ist
Betriebliche Effizienz und Automatisierung
Das Verlassen auf manuelle Statusprüfungen oder periodisches API-Polling führt zu Latenz, die die Benutzererfahrung beeinträchtigen und die Abwicklung verzögern kann. Webhooks automatisieren den Übergang zwischen Zahlungsautorisierung und Servicebereitstellung.
Durch den sofortigen Empfang von Benachrichtigungen über erfolgreiche Erfassungen oder Abrechnungen können Unternehmen Versand-Workflows, Lizenzerstellung oder Kontobereitstellung automatisieren, wodurch der Bedarf an manuellem Eingreifen reduziert und das Risiko menschlicher Fehler im Transaktionsmanagement minimiert wird.
Risiko- und Streitigkeitsminderung
Benachrichtigungen über Rückholanfragen oder Rückbuchungen ermöglichen es Händlern, innerhalb der von den Systemen vorgeschriebenen Fristen zu reagieren. Sofortige Benachrichtigungen über sanfte Ablehnungen oder SCA-Fehler ermöglichen eine proaktive Kundenbindung.
Durch die unmittelbare Reaktion auf diese Ereignisse können Händler ihre Erfolgsquoten bei der Repräsentierung verbessern und die Betriebskosten reduzieren, die mit unbeachteten Zahlungsausfällen oder Streitigkeiten verbunden sind, die sonst bis zu einer regelmäßigen manuellen Prüfung unbemerkt geblieben wären.
Anwendungsfälle
Abonnement- und SaaS-Lebenszyklus
Wenn eine wiederkehrende Zahlung fehlschlägt oder eine Karte abläuft, löst ein Webhook eine automatisierte Mahnsequenz aus oder sperrt den Zugang des Benutzers, wodurch genaue Abrechnungszyklen ohne manuelle Überwachung aufrechterhalten werden.
E-Commerce-Auftragserfüllung
Ein Online-Händler verwendet Webhooks, um Waren erst nach Erhalt eines „capture. succeeded“-Ereignisses zum Versand freizugeben, wodurch der Versand von Artikeln verhindert wird, für die die Zahlung nicht vollständig autorisiert wurde.
Marktplatz-Auszahlungskoordination
Plattformen, die Gelder erhalten, können Auszahlungen an Unterhändler erst auslösen, nachdem die ursprüngliche Kundentransaktion den Status „abgerechnet“ erreicht hat, wodurch Liquidität gewährleistet und das Risiko von Auszahlungsrückbuchungen verringert wird.
Finalisierung alternativer Zahlungsmethoden
Für Methoden wie Banküberweisungen oder lokale Schemata, die keine sofortige Bestätigung bieten, benachrichtigen Webhooks das System Stunden oder Tage später, wenn die Gelder bestätigt sind.
In Zahlen
Typische branchenübliche Verzögerung zwischen der Aufzeichnung eines Ereignisses in der Akquisitionsplattform und dem Versand des Webhooks an den Händler-Endpunkt.
Standard-Zuverlässigkeits-Benchmark für Webhook-Dienste bei Einbeziehung automatischer Wiederholungslogik und redundanter Zustellungsinfrastruktur.
Branchenbeobachtung der Verbesserung der Abwicklungsgeschwindigkeit beim Übergang von periodischer Stapelverarbeitung zu ereignisgesteuerten Webhook-Architekturen.
Verwandte Begriffe
Talk to our team about a live rollout on your acquiring stack.
Was Sie erhalten mit Webhooks
- Asynchrone Übermittlung von Transaktionsstatusänderungen für eine verbesserte Systemleistung.
- Unterstützung mehrerer Ereignistypen, einschließlich Autorisierung, Erfassung, Rückerstattung und Streitigkeit.
- HMAC-SHA256 Signatur-Header für eine robuste Verifizierung der Integrität eingehender Daten.
- Automatisierte Wiederholungslogik nach exponentiellen Backoff-Plänen für fehlgeschlagene Zustellversuche.
- Payload-Versionierung zur Gewährleistung der Kompatibilität, wenn sich Datenstrukturen im Laufe der Zeit entwickeln.
- IP-Whitelisting-Funktionen zur Beschränkung des eingehenden Datenverkehrs auf bekannte Gateway-Quellen.
- Inklusion eines Idempotenzschlüssels zur Verhinderung doppelter Verarbeitung desselben Zahlungsereignisses.
- Detaillierte Ereignisprotokolle zur Fehlersuche und Überprüfung der Webhook-Zustellungsleistung im Dashboard.
- Granulare Ereignisauswahl zur Minimierung der Bandbreitennutzung und der serverseitigen Verarbeitungsanforderungen.
- Testmodus-Funktionalität zur Validierung des Endpunktverhaltens mit simulierten Zahlungsszenarien.
A short scoping call, then a written plan for your MIDs.
Fragen zu Webhooks
Wie sollte unser Server doppelte Webhook-Benachrichtigungen handhaben?
Es ist gängige Praxis für Zahlungsgateways, einen Wiederholungsmechanismus zu verwenden, wenn ein Endpunkt innerhalb eines bestimmten Zeitrahmens keine 200 OK-Antwort zurückgibt. Folglich kann Ihr Server dasselbe Ereignis mehrmals empfangen.
Um die Datenintegrität zu wahren, sollten Sie eine Idempotenzlogik implementieren. Dies beinhaltet typischerweise die Verfolgung der eindeutigen Ereignis-ID, die in der Payload bereitgestellt wird, und die Überprüfung, ob sie bereits verarbeitet wurde, bevor Geschäftslogik ausgeführt wird.
Wenn die ID in Ihrer Datenbank existiert, sollte Ihr Server das Ereignis ignorieren, aber dennoch ein 200 OK zurückgeben, um weitere Wiederholungen zu stoppen.
Was ist der Unterschied zwischen dem Abfragen einer API und der Verwendung von Webhooks?
Das Abfragen erfordert, dass Ihr Server häufige Anfragen an das Gateway sendet, um nach Statusaktualisierungen zu suchen, was ineffizient ist und zu Rate-Limiting-Problemen oder verzögerten Informationen führen kann.
Webhooks kehren diesen Fluss um, wobei das Gateway nur dann eine Anfrage an Ihren Server sendet, wenn ein Ereignis eintritt.
Dieses „Push“-Modell ist effizienter, reduziert die Serverlast und stellt sicher, dass Statusaktualisierungen nahezu in Echtzeit über Ihre Infrastruktur hinweg aktualisiert werden, was besonders wichtig für zeitkritische Aktionen wie die Bereitstellung digitaler Inhalte oder die Betrugsprävention ist.
Warum ist eine Signaturprüfung für jede Webhook-Anfrage notwendig?
Da Webhook-Endpunkte öffentliche URLs sind, sind sie theoretisch für jede Entität im Internet zugänglich. Ohne Verifizierung könnte ein Angreifer eine gefälschte JSON-Payload an Ihren Server senden, die fälschlicherweise anzeigt, dass eine hochwertige Zahlung erfolgreich war.
Durch die Verwendung eines geteilten Geheimnisses zur Verifizierung der im Anfrage-Header bereitgestellten HMAC-Signatur kann Ihr System mathematisch beweisen, dass die Nachricht von Ihrem PSP gesendet wurde und dass der Inhalt nicht verändert wurde, was die Sicherheit Ihres Auftragsabwicklungsprozesses gewährleistet.
Wie handhaben Webhooks 3-D Secure- und SCA-Anforderungen?
Während eines 3-DS-Flows geht die Transaktion oft in einen ausstehenden Zustand über, während der Benutzer zur Authentifizierung zu seinem Issuer weitergeleitet wird. Das Endergebnis dieser Authentifizierung ist möglicherweise nicht sofort bekannt.
Webhooks werden verwendet, um Ihr System zu benachrichtigen, wenn die 3-DS-Challenge abgeschlossen ist und die Transaktion anschließend autorisiert oder abgelehnt wird.
Dies verhindert, dass Ihr Checkout hängen bleibt und ermöglicht es Ihrem Backend, auf den endgültigen Autorisierungsstatus zu reagieren, sobald der Kunde von der Weiterleitungsseite der Bank zurückkehrt.
Können Webhooks verwendet werden, um Rückbuchungs- und Streitigkeitstermine zu verwalten?
Ja, Webhooks sind ein primäres Tool zur Verwaltung des Streitigkeitslebenszyklus. Wenn ein Karteninhaber eine Retrieval Request oder eine formelle Rückbuchung bei seinem Issuer initiiert, empfängt das Gateway diese Benachrichtigung über die Kartensysteme.
Dann wird ein Webhook an Ihr System gesendet, der den Grundcode, den Betrag und die Frist für die Antwort angibt.
Mit diesen Echtzeitdaten können Sie die Sperrung des betreffenden Kontos automatisieren und Ihr Risikoteam benachrichtigen, um den Repräsentierungsprozess sofort einzuleiten, wodurch die Wahrscheinlichkeit einer erfolgreichen Streitigkeitsumkehr erhöht wird.
Was passiert, wenn unser Server während eines kritischen Webhook-Ereignisses ausfällt?
Zuverlässige Webhook-Systeme arbeiten mit einer Wiederholungsrichtlinie. Wenn Ihr Endpunkt einen 4xx- oder 5xx-Fehler zurückgibt oder innerhalb weniger Sekunden nicht antwortet, reiht das Gateway die Nachricht zur erneuten Zustellung ein.
Diese Wiederholungen folgen in der Regel einem exponentiellen Backoff-Muster und versuchen die Zustellung mehrmals über Minuten oder Stunden. Um eine langfristige Konsistenz zu gewährleisten, sollten Sie auch einen Fallback-Mechanismus haben, wie z.
B. ein tägliches Abstimmungsskript, das die API aufruft, um fehlende Statusänderungen zu finden, was ein Sicherheitsnetz für längere Ausfälle bietet.
Ähnliche Funktionen.
Bereit für Geschwindigkeit?
Erzählen Sie uns von Ihrem Unternehmen. Wir vermitteln Ihnen die passenden Acquirer-Partner und den richtigen Weg, normalerweise innerhalb einer Woche.
