Autorisierung in Echtzeit mit Issuing

Mit dem synchronen Webhook können Sie Autorisierungsanfragen in Echtzeit genehmigen oder ablehnen.

Ihr Webhook-Endpoint kann in Ihren Einstellungen konfiguriert werden. Wenn eine Karte für einen Kauf verwendet wird, erstellt Stripe eine issuing_authorization.request und sendet sie zur Genehmigung an Ihren konfigurierten Endpoint.

Beginnen Sie mit unserem interaktiven Leitfaden für Echtzeitautorisierungen.

Auf Autorisierungsanfragen reagieren

Sie können auf Autorisierungsanfragen antworten, indem Sie direkt auf das Webhook-Ereignis reagieren.

Direkt antworten

Reagieren Sie direkt auf das Webhook-Ereignis issuing_authorization.request, um eine Autorisierung nach Erhalt entweder zu genehmigen oder abzulehnen.

Webhook-Antwort

Unser Webhook akzeptiert JSON-Antworten mit den folgenden Parametern:

Status-Code: Geben Sie 200 zurück, um Erfolg anzuzeigen.

Titel:

Haupttext:

# Using Sinatra.
require 'sinatra'
require 'stripe'

set :port, 4242

# Set your secret key. Remember to switch to your live secret key in production.
# See your keys here: https://dashboard.stripe.com/apikeys
Stripe.api_key = 
'sk_test_BQokikJOvBiI2HlWgH4olfQ2'

# Replace with a real secret. You can find your endpoint's secret in your webhook settings.
webhook_secret = 'whsec_...'

post '/webhook' do
  payload = request.body.read
  sig_header = request.env['HTTP_STRIPE_SIGNATURE']

  event = nil

  # Verify webhook signature and extract the event.
  begin
    event = Stripe::Webhook.construct_event(
      payload, sig_header, webhook_secret
    )
  rescue JSON::ParserError => e
    # Invalid payload.
    status 400
    return
  rescue Stripe::SignatureVerificationError => e
    # Invalid signature.
    status 400
    return
  end

  if event['type'] == 'issuing_authorization.request'
    auth = event['data']['object']
    # ... custom business logic

    status 200
    header 'Stripe-Version' => '2025-03-31.basil', 'Content-Type' => 'application/json'
    data = { 'approved' => true }
    body data.to_json
  end
  # ...handle other cases
end

API-Aufruf durchführen Deprecated

Diese Dokumentation wird für bestehende Nutzer/innen aktualisiert. Wenn Sie neu sind, antworten Sie dem Webhook direkt. Wenn Sie eine bestehende Nutzerin/ein bestehender Nutzer sind, planen Sie die Umstellung auf den direkten Webhook. Befolgen Sie unseren Leitfaden zur direkten Webhook-Migration.

Führen Sie einen API-Aufruf durch, um die Anfrage zu genehmigen oder abzulehnen, und geben Sie die Autorisierungs-ID an. Wenn Sie diese Methode verwenden, muss Ihr Webhook jede Autorisierung genehmigen oder ablehnen, bevor er auf die eingehende Webhook-Anfrage antwortet.

# Using Sinatra.
require 'sinatra'
require 'stripe'

set :port, 4242

# Set your secret key. Remember to switch to your live secret key in production.
# See your keys here: https://dashboard.stripe.com/apikeys
Stripe.api_key = 
'sk_test_BQokikJOvBiI2HlWgH4olfQ2'

# Uncomment and replace with a real secret. You can find your endpoint's
# secret in your webhook settings.
# webhook_secret = 'whsec_...'

post '/webhook' do
  payload = request.body.read
  sig_header = request.env['HTTP_STRIPE_SIGNATURE']

  event = nil

  # Verify webhook signature and extract the event.
  begin
    event = Stripe::Webhook.construct_event(
      payload, sig_header, webhook_secret
    )
  rescue JSON::ParserError => e
    # Invalid payload.
    status 400
    return
  rescue Stripe::SignatureVerificationError => e
    # Invalid signature.
    status 400
    return
  end

  if event['type'] == 'issuing_authorization.request'
    auth = event['data']['object']
    handle_authorization(auth)
  end

  status 200
end

def handle_authorization(auth)
  # Authorize the transaction
  authorization = Stripe::Issuing::Authorization.approve(auth["id"])
end

Wir empfehlen, nur eine dieser beiden Methoden zu verwenden, um auf Autorisierungsanfragen zu reagieren. Für Nutzer/innen, die von einer Methode auf eine andere umstellen, werden während einer Migration beide Methoden unterstützt. Falls beide Methoden für dieselbe Autorisierung verwendet werden, hat der API-Aufruf Vorrang vor der direkten Antwort. Bei Migrationen empfehlen wir, jeweils nur eine Methode für eine bestimmte Anfrage zu verwenden.

Wenn Stripe Ihre Antwort oder Anfrage zum Genehmigen oder Ablehnen nicht innerhalb von 2 Sekunden erhält, wird die Authorization basierend auf Ihren Zeitüberschreitungseinstellungen automatisch genehmigt oder abgelehnt.

Autorisierungsanfragen

Wenn eine Autorisierungsanfrage an Ihren Webhook gesendet wird, wird der angeforderte amount in pending_request gespeichert.

{
  "id": "iauth_1CmMk2IyNTgGDVfzFKlCm0gU",
  "object": "issuing_authorization",
  "approved": false,
  "amount": 0,
  "currency": "usd",
  "status": "pending",
  ...
  "pending_request": {
    "amount": 400,
    "currency": "usd",
    "merchant_amount": 360,
    "merchant_currency": "gbp"
  }
}

Der oberste amount in der Anfrage wird auf 0 festgelegt und approved erhält den Wert „false“. Nachdem Sie auf die Anfrage reagiert haben, zeigt der oberste amount den genehmigten oder abgelehnten Gesamtbetrag an, das Feld approved wird aktualisiert und pending_request wird auf null festgelegt.

Webhooks lokal testen

Verwenden Sie die Stripe-CLI, um Webhooks lokal zu testen. Nach der Installation können Sie Ereignisse an Ihren Server weiterleiten:

stripe listen --forward-to localhost:4242/webhook
Ready! Your webhook signing secret is '{{WEBHOOK_SIGNING_SECRET}}' (^C to quit)

In einem anderen Datenterminal können Sie dann issuing_authorization.request-Ereignisse über die CLI manuell auslösen, um das Testen zu vereinfachen.

stripe trigger issuing_authorization.request

Erfahren Sie mehr über die Einrichtung von Webhooks.

Autopilot Public preview

Autopilot bietet Ausweichoptionen, mit denen Sie weiterhin Autorisierungsentscheidungen in Echtzeit treffen können, wenn Ihre Systeme ausfallen, nicht auf eine Autorisierungsanfrage reagieren oder eine ungültige Antwort liefern.

Autopilot trifft in Ihrem Namen eine Autorisierungsentscheidung auf der Grundlage eines vordefinierten Regelwerks. Wir erstellen Authorization-Objekte zur Übermittlung, um Autopilot-Transaktionen abzugleichen. Wenn Autopilot eine Autorisierung genehmigt oder ablehnt, ist die Eigenschaft request_history.reason des Webhooks issuing_authorization.created entweder webhook_error oder webhook_timeout:

• webhook_error, wenn Sie auf den Webhook für die Echtzeitautorisierung mit einer ungültigen Stripe API-Version in den Anfrage-Headern antworten oder wenn wir Ihre Antwort nicht verarbeiten können.
• webhook_timeout für alle anderen Fehlermodi.

Um Autopilot zu konfigurieren, wenden Sie sich an den Stripe-Support.

Stripe Autopilot Public preview

Nutzer/innen mit ihren eigenen Bank-Identifikationsnummern (BIN) kann Stripe Autopilot bei Autorisierungsentscheidungen helfen, wenn das Kartennetzwerk Stripe nicht erreichen kann.

Wenn eine Autorisierung über Stripe Autopilot genehmigt oder abgelehnt wird, während Stripe nicht aktiv ist, ist die Eigenschaft request_history.reason des Webhooks issuing_authorization.created network_fallback.

Um Stripe Autopilot zu konfigurieren, kontaktieren Sie den Stripe-Support.

Herausforderungen im Zusammenhang mit Betrug Public preview

Mit Fraud Challenges können Ihre Karteninhaber/innen nicht betrügerische Transaktionen wiederholen, die andernfalls blockiert worden wären.

Passen Sie Ihre Antwort an den issuing_authorization.request-Webhook an, um die Regeln zu verwalten, die beim Senden einer Fraud Challenge festgelegt werden. Sie können Fraud Challenges in Szenarien auslösen, in denen Sie Ausgaben erkennen, die verdächtig erscheinen und eine zusätzliche Verifizierung wünschen (zum Beispiel wenn Karteninhaber/innen ihre Karte außerhalb des Landes verwenden).

Lehnen Sie dazu den Webhook issuing_authorization.request ab und nehmen Sie das Feld send_fraud_challenges mit dem Wert ["sms"] auf.

Fraud Challenges sind derzeit auf Beta-Nutzer/innen beschränkt. Um an der Beta-Version teilzunehmen, müssen Sie ein Issuing nutzen. Um Zugriff auf die Beta anzufordern, melden Sie sich bei Ihrem Stripe-Konto an und aktualisieren Sie die Seite. Kontaktieren Sie Stripe, um weitere Informationen zu erhalten.