Bileşenlerin sorumluluğu
Güvenli veri akışı
- Merchant backend,
POST /payments/intentsile tek kullanımlık oturumu oluşturur. - Backend,
clientSecretdeğerini yalnız ilgili ödeme sayfasına verir. - Tarayıcı, kartın ilk sekiz hanesiyle uygun taksit seçeneklerini öğrenir.
- Kartın tamamı ve CVC yalnız kart işleme katmanına gönderilir.
- Core API yalnız güvenli kart metadata’sını, seçilen oranı ve ödeme durumunu saklar.
- Merchant backend kesin sonucu intent endpoint’inden veya imzalı webhook’tan alır.
Origin ve dönüş URL’si
İzinli ödeme origin’leriniPUT /payments/settings üzerinden tanımlayın. Intent
içindeki returnUrl bu allowlist ile aynı origin’e sahip olmalıdır. Path ve
query farklı olabilir; protokol, hostname ve port eşleşmesi gerekir.
Production webhook URL’si HTTPS kullanmalı ve public bir hedefe çözülmelidir.
Localhost, private IP veya URL içine gömülü kullanıcı bilgisi kabul edilmez.
Yetki ayrımı
POS, credential, oran ve ödeme ayarları yalnız Bearer oturumlu tenantadmin
veya operator tarafından yönetilir. Ödeme işlemleri için API credential
scope’ları ayrıdır:
payments:read: intent listeleme ve durum okumapayments:write: intent oluşturma ve iptalpayments:refund: tam veya kısmi iade