S2S Postback: Продвинутая настройка партнёрки с HMAC

Доа руководит агентством performance marketing в Шишли, Стамбул, и приводит 38 ресторанов в thMenu как партнёр. Перейдя с ручных отчётов на S2S postback, она увеличила ROI на 220 %, потому что каждое событие комиссии теперь автоматически поступает в её платформу атрибуции.

Зачем нужен S2S postback

Server-to-server postback — это прямой мост между вашим трекинг-сервером и движком комиссий thMenu, минуя браузер. В отличие от пикселя, он не зависит от cookie, блокировщиков и ITP. Доа генерирует более 1 200 событий в месяц.

В thMenu Phase 3 каждое событие — created, refunded, released — вызывает POST на зарегистрированный URL. Пейлоад подписан HMAC-SHA256 в заголовке X-thMenu-Signature.

Настройка в дашборде

Три шага в Settings → Postback:

1. Вставьте свой endpoint в поле Postback URL (HTTPS обязателен). 2. Включите Enabled; система сгенерирует секрет в 64 символа. 3. Скопируйте секрет один раз — повторно не показывается.

Доа хранит секрет как переменную окружения Vercel THMENU_POSTBACK_SECRET. Её endpoint проверяет подпись, пишет в Postgres и возвращает 401 при невалидной.

Пейлоад и ретраи

JSON содержит event_type, affiliate_id, commission_id, amount_cents, currency, timestamp и idempotency_key против дубликатов.

При сбое thMenu повторяет 5 раз с экспоненциальным backoff (1м, 5м, 30м, 2ч, 12ч), затем помечает "dead" и уведомляет супер-админа.

FAQ

Как проверить подпись? Вычислите HMAC-SHA256 от raw body с секретом и сравните в timing-safe режиме с заголовком.

Что если потерял секрет? Отключите и включите postback — новый секрет сгенерируется сразу.

Какие уровни? Все активные партнёры без ограничения tier.

Было полезно? Поделитесь.