S2S Postback: Pokročilé nastavení affiliate s HMAC-SHA256

Doğa řídí agenturu performance marketingu v istanbulské Şişli a jako affiliate přivádí 38 restaurací do thMenu. Po přechodu z ručního reportingu na S2S postback její ROI vzrostlo o 220 %, protože každá událost provize teď automaticky teče do její atribuční platformy.

Proč S2S Postback

S2S postback je přímý datový most bez prohlížeče mezi vaším trackingem a enginem provizí thMenu. Na rozdíl od pixelu je imunní vůči ztrátě cookies, blokátorům reklam a Apple ITP. Doğa generuje 1 200+ událostí měsíčně.

V thMenu Phase 3 každá událost — created, refunded, released — spustí POST na registrovanou URL. Payload je podepsán HMAC-SHA256 v hlavičce X-thMenu-Signature.

Nastavení v dashboardu

Tři kroky v Settings → Postback:

1. Vložte endpoint do pole Postback URL (HTTPS povinné). 2. Zapněte Enabled; systém vygeneruje 64znakový secret. 3. Zkopírujte secret jen jednou — po obnovení už nebude vidět.

Doğa drží secret jako proměnnou prostředí Vercel THMENU_POSTBACK_SECRET. Endpoint ověřuje podpis, zapisuje do Postgresu a vrací 401 při neplatnosti.

Payload a retry

JSON obsahuje event_type, affiliate_id, commission_id, amount_cents, currency, timestamp a idempotency_key proti duplikátům.

Při selhání thMenu opakuje 5× s exponenciálním backoffem (1m, 5m, 30m, 2h, 12h), pak označí "dead" a upozorní super-admina.

FAQ

Jak ověřit podpis? Spočtěte HMAC-SHA256 raw body se svým secretem a porovnejte timing-safe s hlavičkou.

Co když ztratím secret? Vypněte a znovu zapněte postback — nový secret se vygeneruje okamžitě.

Které tiery? Všichni aktivní affiliate bez omezení tieru.

Bylo to užitečné? Sdílejte to.