Configuration S2S Postback : Intégration Affiliée HMAC-SHA256

Doğa dirige une agence performance marketing à Şişli, Istanbul, et oriente 38 restaurants vers thMenu en tant qu'affiliée. En passant du reporting manuel au postback S2S, son ROI a bondi de 220 %, car chaque événement de commission alimente automatiquement sa plateforme d'attribution.

Pourquoi le postback S2S ?

Le postback server-to-server est un pont de données direct, sans navigateur, entre votre serveur de tracking et le moteur de commissions thMenu. Contrairement aux pixels, il résiste à la perte de cookies, aux bloqueurs et à l'ITP d'Apple. Doğa génère plus de 1 200 événements mensuels.

En thMenu Phase 3, chaque événement — created, refunded, released — déclenche un POST vers l'URL enregistrée. Le payload est signé HMAC-SHA256 et transmis via l'en-tête X-thMenu-Signature.

Configuration dashboard

Trois étapes dans Settings → Postback :

1. Coller votre endpoint dans Postback URL (HTTPS obligatoire). 2. Activer Enabled ; le système génère un secret de 64 caractères. 3. Copier ce secret une seule fois — il ne réapparaît jamais.

Doğa stocke le secret comme variable d'environnement Vercel THMENU_POSTBACK_SECRET. Son endpoint vérifie la signature, écrit en Postgres et renvoie 401 si invalide.

Payload et retry

Le payload JSON contient event_type, affiliate_id, commission_id, amount_cents, currency, timestamp et idempotency_key pour éviter les doublons.

En cas d'échec, thMenu réessaie 5 fois avec backoff exponentiel (1m, 5m, 30m, 2h, 12h), puis marque "dead" et alerte le super-admin.

FAQ

Comment vérifier la signature ? Calculez HMAC-SHA256 du body brut avec votre secret et comparez en temps constant à l'en-tête.

Et si je perds le secret ? Désactivez puis réactivez le postback — un nouveau secret est généré instantanément.

Quels tiers ? Tous les affiliés actifs sans restriction de palier.

Cet article vous a été utile ? Partagez-le.