Webhooks para pagos (anteriormente conocido como "Actualizaciones en tiempo real") es un método imprescindible con el que te puedes mantener al corriente de los cambios que se realizan en los pedidos, a través de los pagos de Facebook, en la app. |
Los webhooks son un sistema basado en suscripciones que funciona entre Facebook y tu servidor. Tu app se suscribe para recibir actualizaciones de Facebook a través de un punto de conexión HTTPS específico. Cuando se actualice un pedido hecho con la app, enviaremos una solicitud POST
HTTPS al punto de conexión, con la que informaremos al servidor del cambio.
Existen tres casos principales en los que se envían actualizaciones al servidor del desarrollador:
Para suscribirte a Webhooks para pagos, crea primero una URL de punto de conexión pública que reciba las solicitudes GET
HTTPS para la verificación de la suscripción y POST
para las solicitudes de datos del cambio. A continuación, se describe la estructura de estos tipos de solicitud. Luego, configura las suscripciones al objeto payment
de la app. Hay dos formas de hacerlo:
En cualquier caso, el punto de conexión recibirá los mismos datos de la misma manera. Consulta El servidor de devolución de llamada para obtener más información sobre lo que recibirá el servidor.
La forma más fácil de configurar la app para recibir actualizaciones de Webhooks es a través de la pestaña de pagos ubicada en el panel de apps. Busca la app en el panel y haz clic en la pestaña Payments
. La sección "Webhooks" se encuentra justo debajo de la sección "Configuración" de la empresa.
En esta pantalla, luego aparecerá el estado de la suscripción de la app, ya sea que se haya agregado mediante el panel o la API. Aquí es posible cambiar la URL de devolución de llamada de la suscripción y probarla.
En el campo "Devolución de llamada", debes proporcionar un punto de conexión válido del servidor de acceso público. Esta es la dirección que usaremos para verificar la suscripción y enviar las actualizaciones, por lo que debe responder según lo descrito en la sección El servidor de devolución de llamada.
Por último, suministra un "Token de verificación". Este token solo se enviará durante la fase de inscripción para verificar que la suscripción se origine en una ubicación segura. El token no se enviará en las actualizaciones normales de Webhooks.
Es necesario que pruebes la configuración de devolución de llamada antes de guardar la suscripción. Se enviará una solicitud "GET" de verificación al punto de conexión, que contiene los parámetros hub.mode
, hub.challenge
y hub.verify_token
, y se asegurará de que los administres correctamente. Por ejemplo, debes asegurarte de que el punto de conexión responda repitiendo el valor hub.challenge
en Facebook:
Una vez que hayas ingresado los detalles de la suscripción, asegúrate de hacer clic en el botón "Guardar cambios", en la parte inferior de la página. Editar una suscripción implica simplemente modificar el contenido de los campos, volver a realizar la prueba y, luego, guardar de nuevo el formulario.
También es posible configurar y visualizar las suscripciones de manera programática mediante la API Graph. Necesitarás el access token
de la app, que está disponible en la herramienta de tokens de acceso o usando el punto de conexión /oauth
de la API Graph.
La API de suscripción está disponible en el punto de conexión https://graph.facebook.com/[APP_ID]/subscriptions
.
Con ella, puedes realizar estas tres tareas:
POST
HTTPS)GET
HTTPS)Para configurar una suscripción, envía una solicitud POST
con los siguientes parámetros. Ten en cuenta que estos parámetros corresponden a los campos del formulario descrito anteriormente:
object
: según lo anterior, el tipo del objeto sobre el que quieres recibir actualizaciones. Especifica payments
.fields
: una lista separada por comas de las propiedades del tipo de objeto sobre cuyos cambios quieres recibir actualizaciones. Especifica "actions" y "disputes".callback_url
: un punto de conexión del servidor válido y de acceso público.verify_token
: una cadena arbitraria que se envía al punto de conexión cuando se verifica la suscripción.Cuando recibamos esta solicitud, al igual que la configuración del formulario anterior, enviaremos una solicitud GET
a tu devolución de llamada para asegurarnos de que sea válida y esté lista para recibir actualizaciones. En particular, debes asegurarte de que el punto de conexión responda repitiendo el valor hub.challenge
en Facebook.
Ten en cuenta que, como una app solo puede tener una suscripción para cada tipo de objeto, si hay una suscripción para este tipo en particular, los nuevos datos publicados reemplazan los datos anteriores.
Si emitimos una solicitud GET
HTTP a la API de suscripción, se devuelve contenido con codificación JSON que muestra las suscripciones. Por ejemplo:
[ { "object": "payments", "callback_url": "https://www.friendsmash.com/rtu.php", "fields": ["actions", "disputes"], "active": true } ]
Puedes usar el explorador de la API Graph para experimentar directamente con esta API, pero no te olvides de usar el token de acceso de la app.
El servidor de devolución de llamada debe administrar dos tipos de solicitud. Asegúrate de que esté en una URL pública para que podamos hacer correctamente estas solicitudes.
En primer lugar, los servidores de Facebook harán una sola solicitud GET
HTTPS a la URL de devolución de llamada cuando trates de agregar o modificar una suscripción. Se agregará una cadena de consulta a la URL de devolución de llamada con los siguientes parámetros:
Parámetro | Descripción |
---|---|
| Se pasa la cadena " |
| Una cadena aleatoria. |
| El valor |
El punto de conexión debe verificar primero el hub.verify_token
. Así, se garantiza que el servidor sepa que Facebook está haciendo la solicitud y la relacione con la suscripción que acabas de configurar.
Luego, deberá responder repitiendo solo el valor hub.challenge
, que le confirma a Facebook que este servidor está configurado para aceptar devoluciones de llamada y evita vulnerabilidades por denegación de servicio (DDoS).
Nota para los desarrolladores de PHP: En PHP, los puntos y espacios en los nombres de los parámetros de consulta se convierten automáticamente en guiones bajos. Por lo tanto, deberás acceder a estos parámetros usando $_GET['hub_mode']
, $_GET['hub_challenge']
y $_GET['hub_verify_token']
si escribes el punto de conexión de devolución de llamada en PHP. Consulta esta nota en el manual de lenguaje PHP para obtener más información.
Si la suscripción es correcta, procederemos a enviar una solicitud POST
HTTPS al punto de conexión del servidor cada vez que se produzcan cambios (en las conexiones o en los campos seleccionados). Es necesario que respondas a esta solicitud con el código HTTP 200
.
Nota: Consideramos que cualquier otra respuesta distinta de 200
es un error. En este caso, seguiremos intentando enviar la actualización de webhooks. Por esta razón, si no envías la respuesta correcta, es posible que recibas varias veces la misma actualización.
La solicitud tendrá el tipo de contenido application/json
y el cuerpo incluirá una cadena con codificación JSON que contendrá uno o varios cambios.
Nota para los desarrolladores de PHP: En PHP, para obtener los datos cifrados, se debería usar el siguiente código:
$data = file_get_contents("php://input"); $json = json_decode($data);`
Ten en cuenta que los parámetros hub.mode
, hub.challenge
y hub.verify_token
no se vuelven a enviar una vez que se confirma la suscripción.
Este es un ejemplo típico de una devolución de llamada realizada para la suscripción de un objeto payments
:
{ "object": "payments", "entry": [ { "id": "296989303750203", "time": 1347996346, "changed_fields": [ "actions" ] } ] }
Debes tener presente que las actualizaciones de Webhooks solo te informan que se cambió un pago determinado, identificado por el campo id
. Después de recibir la actualización, se te solicitará que consultes la API Graph para obtener detalles de la transacción, con el fin de administrar el cambio adecuadamente.
Nota: Las actualizaciones de pagos nunca se procesan por lotes, a diferencia de los webhooks de otros tipos de objeto.
Recibirás una nueva actualización cada vez que se actualice una transacción, ya sea por la acción de un usuario o de un desarrollador.
Si falla una actualización enviada al servidor, volveremos a intentar realizar la operación inmediatamente y, luego, unas cuantas veces más, con una disminución de la frecuencia, durante las siguientes 24 horas.
Con cada solicitud, enviamos un encabezado HTTP sha256=
que contiene la firma SHA256 de la carga de solicitud con la clave secreta de la app como clave y el prefijo X-Hub-Signature-256
. El punto de conexión de devolución de llamada puede verificar esta firma para validar la integridad y el origen de la carga.
Después de que el servidor recibe una actualización, deberás consultar la API Graph usando el campo id
para obtener información sobre el nuevo estado de la transacción. A continuación, deberás actuar en función de este estado.
En las siguientes secciones, se enumeran todos los posibles cambios de estado que activan el envío de una actualización. En general, se dividen en:
Los objetos payment
incluyen una matriz titulada actions
, que contienen la colección de cambios de estado que experimentó la transacción. Las entradas en la matriz actions
tienen una propiedad llamada type
, que describe el tipo de acción que se llevó a cabo. type
puede tener los siguientes valores: charge
, refund
, chargeback
chargeback_reversal
y decline
, que se explican aquí en detalle.
Este es un ejemplo de respuesta de la API Graph de un objeto de pago con acciones asociadas:
{ "id": "3603105474213890", "user": { "name": "Marco Alvarez", "id": "500535225" }, "application": { "name": "Friend Smash", "namespace": "friendsmashsample", "id": "241431489326925" }, "actions": [ { "type": "charge", "status": "completed", "currency": "USD", "amount": "0.99", "time_created": "2013-03-22T21:18:54+0000", "time_updated": "2013-03-22T21:18:55+0000" }, { "type": "refund", "status": "completed", "currency": "USD", "amount": "0.99", "time_created": "2013-03-23T21:18:54+0000", "time_updated": "2013-03-23T21:18:55+0000" } ], "refundable_amount": { "currency": "USD", "amount": "0.00" }, "items": [ { "type": "IN_APP_PURCHASE", "product": "https://www.friendsmash.com/og/friend_smash_bomb.html", "quantity": 1 } ], "country": "US", "created_time": "2013-03-22T21:18:54+0000", "payout_foreign_exchange_rate": 1,}`
Como te suscribiste al campo de acciones al registrarte en Webhooks, emitiremos una actualización cuando se produzcan los siguientes cambios en la matriz:
En un principio, todos los pedidos contienen una entrada de cargo con "status": "initiated"
. Un pago iniciado es aquel que solo se inició y todavía no se completó. No enviaremos actualizaciones para los pagos en estado iniciado.
Cuando se realice correctamente un pago, se cambiará "status": "initiated"
a "status": "completed"
y emitiremos una actualización. Al ver este cambio, deberás comprobar los registros de pago para verificar si es una transacción nueva o preexistente y responder de la siguiente manera:
initiated
, puedes procesarlo emitiendo al consumidor el artículo virtual o la divisa asociados. Este pago se puede marcar como completo de manera segura.También recibirás actualizaciones para los pagos con "status": "failed"
, que no se deberán procesar.
Cada vez que emitas un reembolso mediante la API Graph, recibirás una actualización. Al igual que con "type": "charge"
, un reembolso también puede tener un estado variable que debes conocer. En particular, es posible que un reembolso presente un error, lo que suele deberse a un problema de procesamiento o conectividad. En tal caso, deberás volver a emitir el reembolso.
Al igual que con los reembolsos, también se te notificará cuando se emita un contracargo, una anulación de contracargo o un rechazo. Un objeto de contracargo, anulación de contracargo o rechazo se agregará a la matriz de acciones de los datos de retorno de la API Graph para el pago.
Cuando se inicie una disputa, te lo notificaremos emitiendo una actualización. En este caso, verás una nueva matriz "disputes"
como parte del objeto payment
. La matriz contendrá la hora en que se inició la disputa, la razón por la que el cliente inició la respuesta y la dirección de correo electrónico de este, que puedes usar para contactarlo directamente a fin de resolver la disputa.
Este es un ejemplo de respuesta completa de la API Graph para una transacción en disputa:
{ "id": "990361254213890", "user": { "name": "Marco Alvarez", "id": "500535225" }, "application": { "name": "Friend Smash", "namespace": "friendsmashsample", "id": "241431489326925" }, "actions": [ { "type": "charge", "status": "completed", "currency": "USD", "amount": "0.99", "time_created": "2013-03-22T21:18:54+0000", "time_updated": "2013-03-22T21:18:55+0000" } ], "refundable_amount": { "currency": "USD", "amount": "0.99" }, "items": [ { "type": "IN_APP_PURCHASE", "product": "https://www.friendsmash.com/og/friend_smash_bomb.html", "quantity": 1 } ], "country": "US", "created_time": "2013-03-22T21:18:54+0000", "payout_foreign_exchange_rate": 1, "disputes": [ { "user_comment": "I didn't receive my item! I want a refund, please!", "time_created": "2013-03-24T18:21:02+0000", "user_email": "email\u0040domain.com", "status": "resolved", "reason": "refunded_in_cash" } ] }
Para obtener más información sobre cómo responder a las disputas y emitir reembolsos, consulta la sección Procedimientos de pago: manejo de disputas y reembolsos.