決済webhookと照合処理

Webhookは決済イベントをリアルタイムでシステムに送信するため、ステータス変更のポーリングが不要になります。

主要な決済webhook：

• payment_intent.succeeded
• payment_intent.payment_failed
• invoice.paid
• invoice.payment_failed
• customer.subscription.updated
• charge.dispute.created

webhookの配信：

• エンドポイントへのHTTP POST
• イベント詳細を含むJSONペイロード
• 失敗時のリトライ（バックオフあり）
• 真正性検証のための署名

webhookが不可欠な理由：

• リアルタイム通知
• 非同期決済フロー（3DS、銀行振込）
• サーバー間の信頼性
• 完全なイベント履歴

webhookを適切に処理しなければ、決済状態が実態と乖離するブラインドスポットがシステムに生じます。

なりすましイベントによる攻撃を防ぐため、すべてのwebhookを検証してください。

署名検証：

Stripe：

• webhookシークレットを用いたHMAC-SHA256を使用
• Stripe-Signatureヘッダーに署名が含まれる
• タイムスタンプによるリプレイ攻撃の防止
• StripeのSDK検証メソッドを使用する

MangoPay：

• webhook署名ヘッダーを使用
• 共有シークレットによる検証
• タイムスタンプの鮮度を確認する

実装上のルール：

• 署名検証は絶対に省略しない
• HTTPSのみ使用（HTTPは拒否）
• IPホワイトリストの検討（追加レイヤー）
• 無効な署名は即座に拒否する

実装例（Stripe）：

1. ヘッダーから署名を抽出する
2. 生のボディとシークレットを使用して期待される署名を計算する
3. 定数時間比較を使用して照合する
4. 不一致の場合は拒否する

独自実装はせず、必ずSDK組み込みの検証機能を使用してください。

Webhookは複数回配信される場合があります。ハンドラーは何度呼び出されても同じ結果を返す必要があります。

重複が発生する理由：

• サーバーの応答が遅かった（タイムアウト→リトライ）
• 確認応答中のネットワーク障害
• 決済プロバイダーのリトライロジック
• デバッグ中の手動リトライ

idempotency実装：

イベントIDの追跡：

• 処理済みイベントIDを保存する
• 処理前に確認する
• 処理済みであればスキップする
• データベースのユニーク制約を使用する

ステートマシンアプローチ：

• 有効な状態遷移を定義する
• 状態を進めないイベントは無視する
• subscription: active → canceled（有効）
• subscription: canceled → active（要注意）

データベーストランザクション：

• 処理をトランザクションでラップする
• 障害発生時はロールバックする
• 部分的な更新を防止する

処理フロー例：

1. webhookを受信する
2. 署名を検証する
3. processed_eventsにevent_idが存在するか確認する
4. 存在する場合は200を返す（確認応答し、再処理しない）
5. 新規の場合は処理しつつevent_idをアトミックに保存する

本番環境でのwebhook処理には堅牢なアーキテクチャが必要です。

迅速な確認応答：

• 5〜10秒以内に200を返す
• タイムアウト時にプロバイダーがリトライする
• 重い処理は非同期キューに回す

非同期処理パターン：

1. webhookを受信する
2. 署名を検証する
3. 生のイベントをデータベースに保存する
4. 即座に200を返す
5. バックグラウンドジョブがイベントを処理する
6. 処理失敗時のリトライロジック

エラー処理：

• 無効な署名には4xxを返す（リトライ不要）
• サーバーエラーには5xxを返す（リトライ対象）
• 正常に処理できなかった場合は絶対に200を返さない

デッドレターキュー：

• 処理に失敗したイベントを保存する
• 蓄積時にアラートを発する
• 調査して手動でリプレイする
• イベントを失わない

モニタリング：

• webhookのボリュームを追跡する
• 配信失敗時にアラートを発する
• 処理遅延を監視する
• 運用状況の可視化のためのダッシュボード

照合処理は、自社データが決済プロバイダーのレコードと一致していることを保証します。

照合が重要な理由：

• webhookが見逃される場合がある（障害、バグ）
• 処理エラーが発生する場合がある
• 売上漏れを防止する
• 正確な会計処理に必須

照合のレベル：

リアルタイム（取引ごと）：

• webhook処理後にAPI経由で確認する
• 即時の差異を検出する
• 大規模環境ではコストがかかる

バッチ処理（日次・週次）：

• プロバイダーから取引リストを取得する
• 内部レコードと照合する
• 不一致箇所を調査対象としてフラグを立てる

決済照合（月次）：

• 銀行入金と期待される支払額を照合する
• 手数料計算を検証する
• 監査レポートを生成する

実装手順：

1. 決済プロバイダーAPIから取引データを取得する
2. 内部の取引テーブルと照合する
3. 不足・過剰・金額不一致を特定する
4. 例外レポートを生成する
5. 差異を調査して解消する

webhookと照合処理における一般的な問題から学びましょう。

webhookの見逃し：

• 原因：サーバーのダウンタイム、ネットワーク障害
• 解決策：日次照合でギャップを検出する
• 予防策：冗長なwebhookエンドポイント

順序外れのイベント：

• 原因：非同期配信、リトライ
• 解決策：タイムスタンプの確認、ステートマシンの使用
• 順次配信を前提としない

二重請求：

• 原因：リトライロジックのバグ、競合状態
• 解決策：作成時にidempotencyキーを使用する
• 照合処理で事後に検出する

返金の不一致：

• 原因：返金webhookの見逃し
• 解決策：照合時に返金リストを取得する
• 予期しない残高変動時にアラートを発する

手数料の差異：

• 原因：料率変更、ボリュームティアの変更
• 解決策：プロバイダーから手数料詳細を取得する
• 月次の手数料照合

通貨換算：

• 原因：換算タイミングの違い
• 解決策：一貫したレートソースを使用する
• 取引と一緒に換算レートを記録する

ベストプラクティス：

• すべてをログに記録する（リクエスト、レスポンス、判断）
• 初日から照合システムを構築する
• 差異が発生したらアラートを発する
• 決済データの定期的な監査