إعداد S2S Postback المتقدم للأفلييت مع HMAC-SHA256

دوغا تدير وكالة تسويق أداء في شيشلي بإسطنبول، وتجلب 38 مطعمًا إلى thMenu كأفلييت. بعد الانتقال من التقارير اليدوية إلى S2S postback، ارتفع ROI لديها بنسبة 220 %، لأن كل حدث عمولة يتدفق تلقائيًا إلى منصة الإسناد الخاصة بها.

لماذا S2S Postback؟

S2S postback هو جسر بيانات مباشر بدون متصفح بين خادم التتبع ومحرك العمولات في thMenu. على عكس البكسل، فهو محصن ضد فقدان الكوكيز وحاجبات الإعلانات وITP من Apple. دوغا تنتج أكثر من 1,200 حدث شهريًا.

في thMenu Phase 3 يطلق كل حدث — created, refunded, released — طلب POST إلى URL المسجل، موقّعًا بـ HMAC-SHA256 في هيدر X-thMenu-Signature.

الإعداد عبر اللوحة

ثلاث خطوات في Settings → Postback:

1. ألصق endpoint التتبع في حقل Postback URL (HTTPS إلزامي). 2. فعّل Enabled؛ يولّد النظام سرًا من 64 حرفًا. 3. انسخ السر مرة واحدة فقط — لن يُعرض مرة أخرى.

تحتفظ دوغا بالسر كمتغير بيئة Vercel THMENU_POSTBACK_SECRET. يتحقق endpoint من التوقيع، يكتب في Postgres ويرد 401 عند بطلانه.

Payload وإعادة المحاولة

يحتوي JSON على event_type, affiliate_id, commission_id, amount_cents, currency, timestamp وidempotency_key لمنع التكرار.

عند الفشل يعيد thMenu المحاولة 5 مرات مع backoff أُسي (1د, 5د, 30د, 2س, 12س)، ثم يضع علامة "dead" ويُنبّه السوبر أدمن.

FAQ

كيف أتحقق من التوقيع؟ احسب HMAC-SHA256 لجسم الطلب الخام بسرّك وقارنه timing-safe مع الهيدر.

ماذا لو فقدت السر؟ عطّل ثم فعّل postback — يُولَّد سر جديد فورًا.

أي مستويات؟ متاح لجميع الأفلييت النشطين بلا قيود tier.

هل وجدت هذا مفيداً؟ شاركه.