concept_auth_and_approve - nicepayments/nicepay-manual GitHub Wiki

인증 및 승인에 대한 개념 이해하기

• 인증 (결제창)
• 승인 (결제)
• 인증 & 승인 구간이 분리되어 있는 이유
• 인증 & 승인 한번에 처리할 순 없을까?

가맹점 입장에서는 결제라는 기능을 제공하기 위해서 결제 대행사에서 제공하는 인증 / 승인 요청을 하나의 기능으로 개발해야 합니다.

인증 (결제창)

가맹점에서 상품 또는 서비스를 판매할 때, 고객은 결제창을 통해 결제수단과 금액을 입력합니다. 가맹점은 이 정보를 결제대행사에게 보냅니다.

결제대행사는 카드사와 협력하여 고객의 결제수단이 유효한지 확인한 후, 그 결과를 가맹점에 알려줍니다. 이때, 나이스페이먼츠 같은 결제대행사는 가맹점이 미리 지정한 returnUrl로 인증 결과를 보냅니다.

가맹점은 이 인증 결과를 받아서 다음 단계인 결제 승인 과정을 진행하거나, 만약 인증에 실패했다면 적절한 처리를 하게 됩니다.

이러한 인증 과정은 가맹점에서 이루어지는 결제가 올바르고 안전하게 진행될 수 있도록 중요한 역할을 하며, 고객의 결제수단의 유효성을 확인하는 중간 단계로 볼 수 있습니다.

• 인증(2transaction) 명세

승인 (결제)

인증 과정이 성공적으로 완료되면, 가맹점은 다음 단계인 승인 구간으로 넘어갑니다. 이 단계는 고객의 결제를 최종 확정하는 단계로, 카드사 또는 은행에게 실제 결제 금액을 청구하는 과정을 포함합니다.

가맹점에서는 고객의 결제 정보와 금액을 카드사 측으로 전달하며, "이 거래를 승인해주세요"라고 요청하게 됩니다. 카드사나 은행은 이 요청을 받고 고객의 계좌에서 결제 금액을 빼내는 작업을 시작합니다.

이렇게 승인 과정은 고객의 결제수단이 유효하다는 것을 확인한 인증 단계 다음에 이루어지며, 실제로 결제 금액이 고객의 계좌에서 빠져나가는 구간입니다.

간단하게 말하자면, 인증은 "이 카드나 계좌는 사용할 수 있는 건가요?"라고 묻는 단계고, 승인은 "그럼 이제 이 카드나 계좌에서 돈을 빼도 되겠네요!"라고 결정하는 단계라고 볼 수 있습니다.

가맹점에서는 이 승인 단계를 통해 거래가 성립되고, 고객의 결제가 완료하는 것으로 이해할 수 있습니다.

• 승인 API 명세서

인증 & 승인 구간이 분리되어 있는 이유?

인증과 승인이라는 개념 및 기능을 구분하여 제공함으로써 얻는 이점은 다음과 같습니다.

보안 강화

고객이 카드 정보를 입력하면 가맹점은 이 정보가 올바른지 확인하기 위해 결제 대행사나 카드사와 협력하여 고객의 결제수단의 유효성을 확인합니다. 만약 중간에 공격자가 정보를 가로채 고객의 정보를 도용하려고 해도, 그 정보만으로는 실제 결제를 완료할 수 없게 됩니다. 즉, 정보만 확인하는 단계와 실제 돈을 뺄 수 있는 단계를 따로 두어 가맹점과 고객의 보안을 더욱 강화할 수 있습니다.

효율성 및 유연성

고객 입장에서 결제 과정에서 언제든지 결제를 변경하거나 취소할 수 있는 유연성을 제공합니다. 실제 금액 청구가 이루어지지 않았으므로, 거래 변경이나 취소가 더 쉽고 빠릅니다. ex) 정기결제

가맹점 입장에서 실제 결제를 진행하기 전에 카드의 유효성을 미리 확인할 수 있어, 불필요한 승인 요청을 줄일 수 있습니다. 또, 인증 단계에서의 문제와 승인 단계에서의 문제를 따로 다루어, 문제 해결이 더 쉽고 명확하게 관리할 수 있습니다.

거래의 정확성 확인

인증 단계에서 결제 수단의 유효성을 확인하고, 승인 단계에서 실제 금액을 청구하기 전에 거래 내용을 재확인함으로써, 잘못된 금액 또는 결제 정보의 처리를 방지합니다. 이를 통해 거래의 정확성과 신뢰성을 보장할 수 있습니다.

ex) 각 응답 명세의 signature 필드 검증

인증 & 승인 한번에 처리할 순 없을까?

'1transaction' 서비스는 결제 과정에서 인증과 승인을 하나의 거래로 처리하는 방식입니다. 고객이 결제를 요청하면, 가맹점은 나이스페이먼츠 측으로 결제창을 호출만 하면 됩니다. 나이스페이먼츠는 인증과 승인 처리를 모두 한 번에 처리한 후, 그 결과를 가맹점에게 반환합니다.

이 서비스의 가장 큰 장점은 연동의 간편함입니다. 가맹점은 복잡한 인증과 승인 과정을 따로 처리할 필요 없이, 단일 요청으로 결제를 완료할 수 있습니다.

주의해야 할 사항

하지만 이런 간편함은 일부 주의해야 할 점들을 수반합니다.

1. 서버간 통신의 안전성

나이스페이먼츠 forStartup에서 인증 & 승인을 하나의 거래로 처리하여 해당 결과를 반환하기 때문에 가맹점의 네트워크 환경으로 인하여 Read Timeout이 발생하는 경우, 어떠한 사유에서 응답을 받지 못했는지 알 수 없습니다.

이를 위해 실시간 웹훅 서비스를 함께 제공하고 있습니다. 해당 결제수단의 웹훅 URL을 등록하여 결제결과를 응답받아 진행할 수 있습니다.

• 웹훅 등록 API 명세서
• 웹훅 (거래통보) 명세서

만약, 가맹점은 1transaction 서비스에 대한 응답을 받지 못하는 경우, 망취소와 같은 기능을 통해 거래에 대한 일관성을 보장할 수 있습니다.

• 망취소 API 명세서

2. 유연성의 제한

인증과 승인을 별도로 처리하는 기존 방식은 거래의 유연성을 제공합니다. 반면, 두 과정이 하나로 합쳐서 처리하므로, 가맹점 입장에서 구간별로 별도의 처리나 검증 단계를 구현하려고 하는 부분이 제한될 수 있습니다. 이는 특수한 상황에서 에러 대응이 더 까다로울 수 있습니다.

결국, 1transaction 서비스는 연동의 간편함을 제공하지만, 서버 간의 네트워크 통신의 안정성, 유연성 등을 충분히 고려해야 하는 트레이드 오프가 있습니다. 가맹점은 이러한 요소를 충분히 검토하고, 자신의 비즈니스 요구사항과 맞는지 판단 후 해당 서비스를 사용해야 합니다.