S2S Postback 고급 어필리에이트 설정: HMAC-SHA256 통합

Doğa는 이스탄불 시슐리에서 퍼포먼스 마케팅 에이전시를 운영하며 어필리에이트로 38개 레스토랑을 thMenu에 유치합니다. 수동 리포트에서 S2S postback으로 전환한 후 ROI가 220 % 상승했습니다. 모든 커미션 이벤트가 자체 어트리뷰션 플랫폼으로 자동 유입되기 때문입니다.

S2S Postback이 필요한 이유

S2S postback은 트래킹 서버와 thMenu 커미션 엔진 사이의 브라우저 없는 직접 데이터 브리지입니다. 픽셀과 달리 쿠키 손실, 광고 차단기, Apple ITP의 영향을 받지 않습니다. Doğa는 월 1,200건 이상의 이벤트를 생성합니다.

thMenu Phase 3에서 각 이벤트 — created, refunded, released — 는 등록된 URL로 POST를 트리거합니다. 페이로드는 HMAC-SHA256으로 서명되어 X-thMenu-Signature 헤더에 담깁니다.

대시보드 설정

Settings → Postback에서 세 단계:

1. Postback URL에 엔드포인트 붙여넣기(HTTPS 필수). 2. Enabled 토글 활성화; 시스템이 64자 서명 시크릿을 자동 생성. 3. 시크릿을 단 한 번만 복사 — 새로고침하면 다시 노출되지 않습니다.

Doğa는 시크릿을 Vercel 환경 변수 THMENU_POSTBACK_SECRET로 저장합니다. 엔드포인트는 서명을 검증해 Postgres에 쓰고, 유효하지 않으면 401을 반환합니다.

페이로드와 재시도

JSON에는 event_type, affiliate_id, commission_id, amount_cents, currency, timestamp, 중복 방지용 idempotency_key가 포함됩니다.

실패 시 thMenu가 지수 백오프로 5회(1분, 5분, 30분, 2시간, 12시간) 재시도 후 "dead"로 표시하고 슈퍼 관리자에게 알립니다.

FAQ

서명 검증 방법은? 원본 바디에 시크릿으로 HMAC-SHA256을 계산하고 헤더와 timing-safe 비교하세요.

시크릿 분실 시? 대시보드에서 postback을 비활성화 후 재활성화하면 새 시크릿이 즉시 발급됩니다.

어떤 tier? 모든 활성 어필리에이트 사용 가능, tier 제한 없음.

도움이 되셨나요? 공유해 주세요.