S2S Postback Setup: Erweiterte Affiliate-Integration mit HMAC

Doğa betreibt eine Performance-Marketing-Agentur in Şişli, Istanbul, und führt als Affiliate 38 Restaurantkunden zu thMenu. Nach dem Wechsel von manueller Reportierung auf S2S Postback stieg ihr ROI um 220 Prozent, weil jedes Commission-Event automatisch in ihre Attribution-Plattform fließt.

Warum S2S Postback?

Server-to-Server Postback ist eine browser-lose Datenbrücke zwischen Ihrem Tracking-Server und der thMenu-Commission-Engine. Im Gegensatz zu Pixel-Tracking ist sie immun gegen Cookie-Verlust, Adblocker und Apples ITP. Doğa erzeugt monatlich über 1.200 Commission-Events.

In thMenu Phase 3 löst jedes Event — created, refunded, released — einen Worker-POST an die registrierte URL aus. Die Payload wird mit HMAC-SHA256 signiert und im Header X-thMenu-Signature übertragen.

Dashboard-Konfiguration

Drei Schritte in Settings → Postback:

1. Tracking-Endpoint in das Feld Postback URL einfügen (HTTPS zwingend). 2. Toggle Enabled aktivieren; das System erzeugt automatisch ein 64-Zeichen Signing Secret. 3. Secret einmalig kopieren und im Vault speichern — beim Reload nie wieder sichtbar.

Doğas Setup verwendet das Secret als Vercel-Umgebungsvariable THMENU_POSTBACK_SECRET. Ihr Endpoint validiert die Signatur, schreibt gültige Events nach Postgres und antwortet mit 401 bei ungültigen.

Payload und Retry-Logik

Die Payload enthält event_type, affiliate_id, commission_id, restaurant_id, amount_cents, currency, timestamp und idempotency_key. Letzterer verhindert doppelte Inserts.

Bei Fehlern wiederholt thMenu 5 Mal mit exponentiellem Backoff (1m, 5m, 30m, 2h, 12h). Danach Markierung als "dead" in affiliate_postback_log mit Super-Admin-Alarm.

FAQ

Wie verifiziere ich die Signatur? Raw Body lesen, HMAC-SHA256 mit Secret berechnen und timing-safe gegen den Header-Wert vergleichen.

Was bei Secret-Verlust? Postback deaktivieren und neu aktivieren — neues Secret wird sofort gültig.

Welche Tiers? Alle aktiven Affiliates ohne Tier-Sperre.

Hilfreich? Teilen Sie es.