결제 흐름 이해하기

✅ 카드 결제 과정의 세 가지 핵심 단계인 요청, 인증, 승인을 이해할 수 있어요.

✅ 결제 정보를 검증하는 방법을 알 수 있어요.

결제 흐름 체험하기

브라우저에서 바로 결제 흐름을 체험해보세요.

1️⃣ 결제 요청

2️⃣ 구매자 정보 인증

3️⃣ 인증 결과 확인

4️⃣ 결제 승인

결제 연동 방식에는 이렇게 요청과 승인을 따로 하는 방법 뿐만 아니라 한 번에 하는 방식도 있는데요. 토스페이먼츠는 데이터 정합성과 가맹점의 연동 편의를 위해서 요청과 승인을 따로 하는 방식으로 요청과 승인 과정을 만들었습니다.

한 번에 처리하는 방식은 결제 요청을 하면 바로 승인 결과까지 받을 수 있어 간편하게 느껴집니다. 다만 언제 승인 결과가 돌아올 지 알 수 없기 때문에 가맹점 서버에서 승인 결과를 받으려면 반드시 웹훅을 연동해야 합니다. 그런데 웹훅을 연동했더라도 만약 사용자가 결제창을 닫아 버렸거나, 가맹점 서버에 트래픽이 몰려 웹훅으로 승인 완료 결과를 처리하지 못하는 상황이 생기면 문제가 되겠죠. 웹훅이 여러 번 재전송 되더라도 가맹점 서버가 받아줄 수 있는 상태가 아니면 가맹점에서는 결제 실패로, PG에는 결제 완료 상태로 남아 데이터가 어긋나기 때문이에요. 이렇게 요청-승인을 한 번에 처리하면 승인 데이터 정합성 보장을 위해 가맹점에서 여러 작업을 해야 합니다.

그래서 토스페이먼츠에서는 결제 요청과 승인을 따로 하는 방식으로 데이터 정합성을 보장하고, 가맹점에서 해야 할 일을 줄이고자 했습니다. 요청-승인을 따로 하면 결제창을 닫아버리거나 가맹점 서버 이슈 때문에 승인 데이터 정합성에 문제가 생길 가능성은 거의 없어요. 결제 요청 후 가맹점이 승인을 요청하는 과정은 추가되지만 성공 리다이렉트 URL을 보내주니 서버에서 계속 응답 결과를 확인할 필요도 없고요. 토스페이먼츠 서버에서 리다이렉트 URL로 돌려준 정보를 가맹점에서 직접 받아 그 정보로 승인을 요청하기 때문이예요.

토스페이먼츠를 사용할 때 요청과 승인 과정 사이에서 직접 결제 정보 검증을 구현하는 흐름을 알려드릴게요.

구매자의 결제 정보는 결제 요청 전에 저장해야 합니다. 결제 요청 전후의 데이터가 바뀌지 않았는지(데이터 무결성) 확인하기 위함이에요. 또, 주문서 페이지에서 적립금이나 쿠폰을 적용했다면 최종 결제 금액을 서버에 저장하는 등의 작업도 필요합니다. 구매자에게 적립금이나 쿠폰이 없는데 요청과 승인 사이에 적립금을 사용한다고 악의적으로 결제 금액을 수정할 수 있기 때문이죠. orderId(주문번호)와 amount(최종 결제 금액)을 클라이언트에서 서버로 보내 임시로 저장합니다. 아래 과정을 따라해보세요.

1. 구매자가 주문서에서 '결제하기' 버튼을 클릭해 결제를 요청합니다.
2. 주문번호와 최종 결제 금액을 서버 세션이나 데이터베이스에 임시로 저장해주세요.
3. 결제 정보가 잘 저장되었다면 결제를 요청하세요.

결제 요청, 인증까지 성공했다면 승인 요청을 하기 전에 정보를 검증해요. 앞서 요청할 때 저장해 둔 정보와 인증 결과로 돌아온 정보가 같은지 검증하는 과정입니다. 클라이언트에서 결제 금액을 조작해 승인하는 행위를 방지할 수 있어요.

1. 결제 인증이 완료되면 성공 리다이렉트 URL에 들어온 값을 확인합니다. 돌아오는 값은 항상 paymentKey, orderId, amount, paymentType 네 가지입니다.
2. orderId로 결제 요청 전에 저장해 둔 임시 정보를 불러옵니다.
3. 적립금 및 쿠폰을 사용할 수 있는지, 적립금과 쿠폰을 적용한 최종 결제 금액이 토스페이먼츠에서 돌아온 성공 리다이렉트 URL을 통해 받은 금액과 같은지 확인해보세요.
4. 문제가 없다면 돌아온 데이터를 사용해서 결제 승인을 요청하세요.