Version 1
결제 흐름 이해하기
SDK v1은 더 이상 업데이트되지 않습니다. 토스페이먼츠 SDK v2 연동을 추천합니다.
✅ 카드 결제 과정의 세 가지 핵심 단계인 요청, 인증, 승인을 이해할 수 있어요.
✅ 결제 정보를 검증하는 방법을 알 수 있어요.
결제 흐름 체험하기
브라우저에서 바로 결제 흐름을 체험해보세요.
결제 흐름 체험하기
브라우저에서 바로 결제 흐름을 체험해보세요.
요청, 인증, 승인
기본적으로 온라인 결제는 요청, 인증, 승인 세 가지 과정이 있어요. 개발자 입장에서 각 과정에 어떤 일이 일어나는지 자세히 살펴볼게요.
1️⃣ 결제 요청
구매자
주문서의 상품 정보, 결제 금액을 확인하고 ‘결제하기’ 버튼을 클릭해요.
Client
'결제하기' 버튼의 클릭 이벤트로 토스페이먼츠 SDK의 결제 요청 메서드를 호출해요. 결제 요청 메서드는 구매자가 선택한 결제수단의 결제창을 열어요.
결제 요청 메서드의 파라미터로 주문번호(orderId), 성공 및 실패 URL(successUrl, failUrl)을 정의할 수 있어요.
2️⃣ 구매자 정보 인증
구매자
결제창에 카드 번호, 만료일, CVC 등 결제 정보를 직접 입력하거나 앱카드, 간편결제 앱으로 결제 정보를 불러와요.
카드사
카드사는 구매자가 입력한 결제 정보를 확인하면서 구매자를 카드 소유자로 인증해요. 인증 과정은 구매자와 상점을 보호하고, 부정거래나 사기 등을 방지하기 위해 꼭 필요합니다.
3️⃣ 인증 결과 확인
인증이 성공하면 구매자 입장에서는 모든 과정이 끝난 것처럼 보여요. 하지만 개발자는 결제를 마무리하려면 아직 할 일이 남았어요. 인증이 성공하면 토스페이먼츠에서 결제 기록을 생성하고, 결제 키(paymentKey)를 발급해요. 결제 키는 각 결제에 고유한 값이고, 결제 인증이 끝나면 자동으로 발급돼요.
그리고 토스페이먼츠에서 앱을 성공 URL로 리다이렉트합니다. 성공 URL은 백엔드의 엔드포인트로 설정해도 되고, 프론트엔드 페이지로 설정해도 돼요. 성공 URL의 쿼리 파라미터에는 결제 키(paymentKey), 주문번호(orderId) 등 결제 정보가 있어요. 다음 단계에서 결제를 승인할 때 필요한 값이에요.
4️⃣ 결제 승인
Server
인증된 결제를 승인해야 결제가 마무리돼요. 성공 URL의 쿼리 파라미터 값이 결제 요청에 보낸 값과 동일한지 확인하고 결제 승인 API를 호출해요. 카드사로 결제 승인 요청이 전달돼요.
카드사
카드사는 결제 금액을 구매자의 카드 한도 또는 은행 계좌에서 차감해요. 최종 결제 결과는 API 응답으로 확인할 수 있어요. 실제로 결제 금액이 구매자의 결제수단에서 차감됐기 때문에 이제 상품 및 서비스를 구매자에게 제공해주세요.
요청과 승인, 왜 따로 하나요?
결제 연동에는 요청과 승인을 한 번에 하는 방식도 있는데요. 토스페이먼츠는 데이터 정합성과 연동 편의를 위해서 요청과 승인을 따로 하는 방식으로 요청과 승인 과정을 만들었습니다.
결제 요청과 승인을 한 번에 처리하면 더 편리할 것 같지만 사실은 더 복잡합니다. 결제 인증과 승인이 비동기적으로 일어나기 때문에 결제의 결과를 받으려면 반드시 웹훅을 연동해야 됩니다.
웹훅을 연동하면 예기치 못한 상황이 생기기도 해요. 예를 들어 사용자가 결제를 중단하거나, 서버에 트래픽이 몰려서 웹훅을 받지 못했다면 상점의 시스템과 토스페이먼츠 결제 결과와 불일치 데이터가 생길 수도 있어요. 그렇기 때문에 웹훅으로 받은 데이터의 정합성을 보장하는 여러 작업이 필요합니다. 그래서 토스페이먼츠에서는 결제 요청과 승인을 따로 하는 방식으로 데이터 정합성을 보장하고, 상점에서 직접 해야 할 일을 줄이고자 했습니다.
paymentKey는 왜 필요한가요?
paymentKey는 각 결제를 식별하는 값이에요. 결제 인증이 완료되면 토스페이먼츠에서 고유한 paymentKey를 발급해서 성공 URL의 쿼리 파라미터로 내려줍니다. 결제 승인, 결제 취소, 결제 조회할 때 필요한 중요한 값이에요. 그렇기 때문에 결제 승인 이후에 받는 Payment 객체에서 paymentKey는 반드시 데이터베이스에 저장해주세요. paymentKey는 외부에 노출되어도 괜찮아요. 성공 URL로 구매자에게 노출될 수도 있고요. 시크릿 키가 없다면 paymentKey로 아무런 API를 호출할 수 없기 때문이에요.
토스페이먼츠 SDK를 연동하지 않고 테스트 paymentKey를 발급받고 싶다면 개발자센터의 샌드박스를 사용해보세요. 샌드박스에서 테스트하고 싶은 결제수단을 선택하고, 결제 정보를 입력해주세요. 실제로 결제가 되지 않는 테스트입니다. 결제 승인까지 완료하면 paymentKey 값이 발급된 걸 확인할 수 있어요.
결제 정보 검증하기
토스페이먼츠를 사용할 때 요청과 승인 과정 사이에서 직접 결제 정보 검증을 구현하는 흐름을 알려드릴게요.
결제 요청 전에: 결제할 데이터 저장하기
구매자의 결제 정보는 결제 요청 전에 저장해야 합니다. 결제 요청 전후의 데이터가 바뀌지 않았는지(데이터 무결성) 확인하기 위함이에요. 또, 주문서 페이지에서 적립금이나 쿠폰을 적용했다면 최종 결제 금액을 서버에 저장하는 등의 작업도 필요합니다. 구매자에게 적립금이나 쿠폰이 없는데 요청과 승인 사이에 적립금을 사용한다고 악의적으로 결제 금액을 수정할 수 있기 때문이죠. orderId(주문번호)와 amount(최종 결제 금액)을 클라이언트에서 서버로 보내 임시로 저장합니다. 아래 과정을 따라해보세요.
- 구매자가 주문서에서 '결제하기' 버튼을 클릭해 결제를 요청합니다.
- 주문번호와 최종 결제 금액을 서버 세션이나 데이터베이스에 임시로 저장해주세요.
- 결제 정보가 잘 저장되었다면 결제를 요청하세요.
결제 승인 전에: 승인할 데이터 검증하기
결제 요청, 인증까지 성공했다면 승인 요청을 하기 전에 정보를 검증해요. 앞서 요청할 때 저장해 둔 정보와 인증 결과로 돌아온 정보가 같은지 검증하는 과정입니다. 클라이언트에서 결제 금액을 조작해 승인하는 행위를 방지할 수 있어요.
- 결제 인증이 완료되면 성공 URL에 들어온 값을 확인합니다.
paymentKey,orderId,amount는 항상 돌아옵니다. orderId로 결제 요청 전에 저장해 둔 임시 정보를 불러옵니다.- 적립금 및 쿠폰을 사용할 수 있는지, 적립금과 쿠폰을 적용한 최종 결제 금액이 토스페이먼츠에서 돌아온 성공 리다이렉트 URL을 통해 받은 금액과 같은지 확인해보세요.
- 문제가 없다면 돌아온 데이터를 사용해서 결제 승인을 요청하세요.