S2S Postback: Zaawansowana konfiguracja afiliacji z HMAC

Doğa prowadzi agencję performance marketingu w Şişli w Stambule i jako afiliantka kieruje 38 restauracji do thMenu. Po przejściu z ręcznych raportów na S2S postback jej ROI wzrosło o 220 %, ponieważ każde zdarzenie prowizji trafia automatycznie do jej platformy atrybucji.

Po co S2S Postback

S2S postback to bezpośredni, bezprzeglądarkowy most danych między twoim serwerem trackingowym a silnikiem prowizji thMenu. W przeciwieństwie do piksela jest odporny na utratę cookies, blokery reklam i ITP Apple. Doğa generuje ponad 1 200 zdarzeń miesięcznie.

W thMenu Phase 3 każde zdarzenie — created, refunded, released — wyzwala POST do zarejestrowanego URL. Payload jest podpisany HMAC-SHA256 w nagłówku X-thMenu-Signature.

Konfiguracja w dashboardzie

Trzy kroki w Settings → Postback:

1. Wklej endpoint w polu Postback URL (HTTPS wymagany). 2. Włącz Enabled; system generuje 64-znakowy secret. 3. Skopiuj secret tylko raz — po odświeżeniu nie pojawi się ponownie.

Doğa trzyma secret jako zmienną środowiskową Vercel THMENU_POSTBACK_SECRET. Endpoint weryfikuje podpis, zapisuje w Postgres i zwraca 401 gdy nieprawidłowy.

Payload i retry

JSON zawiera event_type, affiliate_id, commission_id, amount_cents, currency, timestamp oraz idempotency_key zapobiegający duplikatom.

Przy błędzie thMenu ponawia 5 razy z backoffem (1m, 5m, 30m, 2h, 12h), potem oznacza "dead" i powiadamia super-admina.

FAQ

Jak zweryfikować podpis? Oblicz HMAC-SHA256 raw body z secretem i porównaj timing-safe z nagłówkiem.

Co jeśli stracę secret? Wyłącz i włącz postback — nowy secret pojawi się natychmiast.

Które tiery? Wszyscy aktywni afilianci bez ograniczeń tier.

Czy to było pomocne? Udostępnij.