가이드/결제 이해하기/결제 흐름
목차

Version 2

새로 나온

카드 결제 과정의 세 가지 핵심 단계인 요청, 인증, 승인을 이해하고 결제 정보를 검증하는 방법을 알아보세요.

요청, 인증, 승인

기본적으로 온라인 결제는 요청, 인증, 승인 세 가지 과정이 있어요. 개발자 입장에서 각 과정에 어떤 일이 일어나는지 자세히 살펴볼게요.

결제 흐름.png

1️⃣ 결제 요청

구매자

주문서의 상품 정보, 결제 금액을 확인하고 ‘결제하기’ 버튼을 클릭해요.

가맹점 Client

'결제하기' 버튼의 클릭 이벤트로 결제 요청 메서드를 호출해요. 결제 요청 메서드는 결제창을 열어요.

결제 요청

2️⃣ 구매자 정보 인증

구매자

결제창에 카드 번호, 만료일, CVC 등 결제 정보를 직접 입력하거나 앱카드, 간편결제 앱으로 결제 정보를 불러와요.

카드사

카드사는 구매자가 입력한 결제 정보를 확인하면서 구매자를 카드 소유자로 인증해요. 인증 과정은 구매자와 가맹점을 보호하고, 부정거래나 사기 등을 방지하기 위해 꼭 필요합니다.

결제 요청

3️⃣ 인증 결과 확인

인증이 성공하면 구매자 입장에서는 모든 과정이 끝난 것처럼 보여요. 하지만 개발자 입장에서는 요청만 마쳤어요. 실제로 구매자의 결제를 마무리하려면 아직 할 일이 남아있습니다.

구매자 인증에 성공하면 성공 URL로 리다이렉트 됩니다. 성공 URL은 결제 요청 메서드에서 개발자 Client가 정의해요. 성공 URL의 에는 결제 키, 주문번호 등 결제 정보가 있어요. 다음 단계에서 필요한 값입니다.

결제 요청.png

4️⃣ 결제 승인

가맹점 Server

인증된 결제를 승인해야 결제가 마무리돼요. 성공 URL의 쿼리 파라미터 값을 토스페이먼츠 결제 승인 API의 요청 응답으로 추가하고 API를 호출해요. 카드사로 결제 승인 요청이 전달돼요.

카드사

카드사는 결제 금액을 구매자의 카드 한도 또는 은행 계좌에서 차감해요. 구매자는 카드 내역으로, 가맹점은 API 응답으로 결제 결과를 확인할 수 있어요. 결제 과정이 끝났으니 가맹점은 구매자에게 상품을 제공해요.

결제 요청

요청과 승인, 왜 따로 하나요?

결제 연동 방식에는 이렇게 요청과 승인을 따로 하는 방법뿐만 아니라 한 번에 하는 방식도 있는데요. 토스페이먼츠는 데이터 정합성과 가맹점의 연동 편의를 위해서 요청과 승인을 따로 하는 방식으로 요청과 승인 과정을 만들었습니다.

한 번에 처리하는 방식은 결제 요청을 하면 바로 승인 결과까지 받을 수 있어 간편하게 느껴집니다. 다만 언제 승인 결과가 돌아올지 알 수 없기 때문에 가맹점 서버에서 승인 결과를 받으려면 반드시 웹훅을 연동해야 합니다. 그런데 웹훅을 연동했더라도 만약 사용자가 결제창을 닫아 버렸거나, 가맹점 서버에 트래픽이 몰려 웹훅으로 승인 완료 결과를 처리하지 못하는 상황이 생기면 문제가 되겠죠. 웹훅이 여러 번 재전송 되더라도 가맹점 서버가 받아줄 수 있는 상태가 아니면 가맹점에서는 결제 실패로, PG에는 결제 완료 상태로 남아 데이터가 어긋나기 때문이에요. 이렇게 요청-승인을 한 번에 처리하면 승인 데이터 정합성 보장을 위해 가맹점에서 여러 작업을 해야 합니다.

그래서 토스페이먼츠에서는 결제 요청과 승인을 따로 하는 방식으로 데이터 정합성을 보장하고, 가맹점에서 해야 할 일을 줄이고자 했습니다. 요청-승인을 따로 하면 결제창을 닫아버리거나 가맹점 서버 이슈 때문에 승인 데이터 정합성에 문제가 생길 가능성은 거의 없어요. 결제 요청 후 가맹점이 승인을 요청하는 과정은 추가되지만 성공 리다이렉트 URL을 보내주니 서버에서 계속 응답 결과를 확인할 필요도 없고요. 토스페이먼츠 서버에서 리다이렉트 URL로 돌려준 정보를 가맹점에서 직접 받아 그 정보로 승인을 요청하기 때문이에요.

결제 정보 검증하기

토스페이먼츠를 사용할 때 요청과 승인 과정 사이에서 직접 결제 정보 검증을 구현하는 흐름을 알려드릴게요.


결제 정보 검증 흐름.png

결제 요청 전에: 결제할 데이터 저장하기

구매자의 결제 정보는 결제 요청 전에 저장해야 합니다. 결제 요청 전후의 데이터가 바뀌지 않았는지(데이터 무결성) 확인하기 위함이에요. 또, 주문서 페이지에서 적립금이나 쿠폰을 적용했다면 최종 결제 금액을 서버에 저장하는 등의 작업도 필요합니다. 구매자에게 적립금이나 쿠폰이 없는데 요청과 승인 사이에 적립금을 사용한다고 악의적으로 결제 금액을 수정할 수 있기 때문이죠. orderId(주문번호)와 amount(최종 결제 금액)을 클라이언트에서 서버로 보내 임시로 저장합니다. 아래 과정을 따라해보세요.

  1. 구매자가 주문서에서 '결제하기' 버튼을 클릭해 결제를 요청합니다.
  2. 주문번호와 최종 결제 금액을 서버 세션이나 데이터베이스에 임시로 저장해주세요.
  3. 결제 정보가 잘 저장되었다면 결제를 요청하세요.

결제 승인 전에: 승인할 데이터 검증하기

결제 요청, 인증까지 성공했다면 승인 요청을 하기 전에 정보를 검증해요. 앞서 요청할 때 저장해 둔 정보와 인증 결과로 돌아온 정보가 같은지 검증하는 과정입니다. 클라이언트에서 결제 금액을 조작해 승인하는 행위를 방지할 수 있어요.

  1. 결제 인증이 완료되면 성공 리다이렉트 URL에 들어온 값을 확인합니다. 돌아오는 값은 항상 paymentKey, orderId, amount, paymentType 네 가지입니다.
  2. orderId로 결제 요청 전에 저장해 둔 임시 정보를 불러옵니다.
  3. 적립금 및 쿠폰을 사용할 수 있는지, 적립금과 쿠폰을 적용한 최종 결제 금액이 토스페이먼츠에서 돌아온 성공 리다이렉트 URL을 통해 받은 금액과 같은지 확인해보세요.
  4. 문제가 없다면 돌아온 데이터를 사용해서 결제 승인을 요청하세요.

더 알아보기

결제 흐름 체험하기브라우저에서 바로 결제 흐름을 체험해보세요.

결제 흐름 체험하기

브라우저에서 바로 결제 흐름을 체험해보세요.

  • 더 궁금한 내용이 있나요?
  • 코드 샘플을 참고하세요
  • 기술지원이 필요한가요?
    실시간 문의|이메일 보내기