本番環境開始のチェックリスト

Stripe は、本番環境とサンドボックス環境が可能な限り同じように動作するように設計しています。環境の切り替えは、大抵 API キーの交換によって行われます。

開発者の場合、または開発者に導入を依頼した場合は、本番環境へ移行する前に次の項目についても検討する必要があります。連携されたウェブサイトまたはプラグインを通じて Stripe を使用している場合は、ほとんどが当てはまりません。

• API バージョンを設定する

  警告

  API バージョンを上書きしない限り、すべてのリクエストはアカウントの API 設定を使用します。changelog には、使用可能なすべてのバージョンが記載されます。エンドポイントの作成 中に API バージョンを設定しない限り、デフォルトでは Webhook イベントはアカウントの API バージョンに従って構造化されます。

  強い型付け言語 (Go、Java、TypeScript、.NET) を使用している場合、サーバー側ライブラリは、使用しているライブラリのバージョンに基づいて API バージョンを固定します。Stripe によるバージョン管理方法に慣れていない場合は、versioning をご覧ください。

  以下の方法ですべてが同期していることを確認します。

  • ダッシュボード内のワークベンチで最新の API バージョンにアップグレードします。
  • 動的言語 (Node.js、PHP、Python、Ruby) の場合は、サーバー側ライブラリの API バージョンを設定します
  • 強力な型付き言語 (Go、Java、TypeScript、.NET) の場合は、選択したライブラリの最新バージョンにアップグレードします
• エッジケースの処理

  Stripe では、いくつかのテスト値を用意しており、これを使用してさまざまな状態とレスポンスを再現できます。これらのオプションに加えて、以下のデータでシステムをテストしてデューデリジェンスを行ってください。

  • 不完全なデータ
  • 無効なデータ
  • 重複データ (たとえば、同じリクエストを再試行してどうなるかを確認する)。また、実装のテストを他の人 (特に開発者ではない人) に依頼することもお勧めします。
• API エラー処理の審査

  本番環境へ移行する前に、「起きてはならない」エラーを含め、考えられるすべての error type を処理するコードが正しく記述されていないことに気付くまで待ってはいけません。コードが防御的であり、一般的なエラーだけでなく、可能性のあるすべてのエラーを処理できることを確認してください。

  エラー処理をテストするときは、ユーザーに表示される情報に特に注意して確認してください。支払い拒否されたクレジットカード (つまり、card_error) は、バックエンドのエラー (たとえば、invalid_request_error) とは別の問題です。

• ログ記録を確認する

  Stripe は、API キーを使用して行われたすべてのリクエストをログに記録しており、これらの記録は ダッシュボードで確認できます。冗長に思われるかもしれませんが、すべての重要なデータをお客様側でもログに記録することをお勧めします。お客様のサーバーが Stripe に接続できない場合、または API キーに問題がある場合、どちらの場合も弊社がリクエストをログに記録できなくなるため、お客様自身のログがバックアップとして機能します。

  ログを定期的に検査して、必要な情報のみがログに保存されていること、機密性の高い情報 (クレジットカード詳細や個人を特定できる情報など) は保存されていないことを確認してください。

• テストオブジェクトに依存していないことを確認する

  サンドボックス環境で作成された Stripe オブジェクト (プラン、クーポン、商品、SKU など) は、本番環境では使用できません。これにより、テストデータが本番環境のコードで誤って使用されるのを防ぐことができます。本番環境で必要なオブジェクトを再作成するときは、必ず同じ ID 値 (たとえば、同じ「名前」ではなく同じプラン「ID」) を使用して、コードが問題なく機能し続けることを確認してください。

• 本番用 Webhook が登録されていることを確認する

  Stripe アカウントでは、テスト用と本番用の両方の Webhook エンドポイントを設定できます。Webhook を使用している場合は、Stripe アカウントで本番用エンドポイントを定義していることを確認してください。その後、本番用エンドポイントがテスト用エンドポイントとまったく同じように機能することを確認します。

  Webhook ステータスを確認する際、本番エンドポイントが次の点も確認してください。

  • 遅延する Webhook 通知を処理する
  • 重複する Webhook 通知を処理する
  • イベント通知が特定の順序で発生する必要はない
• API お知らせメーリングリストに登録する

  すべての開発者が API の更新メーリングリストに登録して、Stripe がリリースする新機能を常に把握できるようにしておくことをお勧めします。

• API キーを変更して保護する

  セキュリティ対策として、API キーのローテーションを定期的に行い、本番環境に移行する直前にローテーションすることをおすすめします。これは、開発中にコードベースの外部のどこかに保存された場合に備えています。ワークフローによって API キーが複数の場所で表現または保存されたり (バグの原因)、バージョン管理ソフトウェアで終了したりしないようにしてください。