Autorisations en temps réel Issuing

Comprendre comment fonctionnent les autorisations en temps réel.

Votre webhook synchrone vous permet d’approuver ou de refuser les demandes d’autorisation en temps réel.

Vous pouvez configurer votre endpoint de webhook dans vos paramètres. Lorsqu’une carte est utilisée pour effectuer un achat, Stripe crée une requête issuing_authorization.request et l’envoie à l’endpoint configuré pour obtenir votre approbation.

Démarrez avec notre guide interactif sur les autorisations en temps réel.

Réponse aux demandes d’autorisation

Vous pouvez répondre aux demandes d’autorisation en répondant directement à l’événement de webhook.

Répondre directement

Répondez directement à l’événement de webhook issuing_authorization.request pour approuver ou refuser une autorisation après sa réception.

Réponse du webhook

Notre webhook accepte les réponses JSON avec les paramètres suivants :

Code d’état : renvoyez 200 pour indiquer une réussite.

En-tête :

nom du champ	obligatoire ou facultatif	description
Version Stripe	obligatoire	Reportez-vous à la section Gestion des versions de l’API pour connaître les valeurs prises en charge.
Type de contenu	facultatif	Le seul type de contenu accepté pour les réponses des webhooks d’autorisation est `application/json`.

Corps :

nom du champ	obligatoire ou facultatif	type	description
approved	obligatoire	Booléen	Définissez `true` pour approuver une autorisation et `false` pour la refuser.
amount	facultatif	Nombre entier	Si la propriété `pending_request.is_amount_controllable` de l’autorisation est `true`, vous pouvez fournir cette valeur afin de contrôler le montant à bloquer pour l’autorisation. Il doit être positif.
metadata	facultatif	Ensemble de paires clé-valeur	Cela peut être utile pour stocker des informations supplémentaires sur l’objet dans un format structuré.
send_fraud_challenges Public preview	facultatif	Tableau de chaînes de caractères	Vous pouvez envoyer une message de détection de la fraude pour cette autorisation uniquement par SMS. Laissez ce champ vide si vous ne souhaitez pas envoyer de message de détection.

Effectuer un appel à l’API Deprecated

Cette documentation est conservée pour les utilisateurs existants. Si vous êtes un nouvel utilisateur, répondez directement au webhook. Si vous êtes un utilisateur existant, prévoyez de migrer vers la réponse directe du webhook. Vous pouvez suivre notre guide de migration directe des webhooks.

Effectuez un appel à l’API pour approuver ou refuser la requête et inclure l’ID Authorization. Si vous utilisez cette méthode, votre webhook doit approuver ou refuser chaque autorisation avant de répondre à la requête de webhook entrante.

Nous vous recommandons de n’utiliser que l’une de ces deux méthodes pour répondre aux demandes d’autorisation. Pour les utilisateurs qui migrent d’une méthode vers une autre, les deux méthodes sont prises en charge lors d’une migration. Si les deux méthodes sont utilisées pour la même autorisation, l’appel à l’API prime sur la réponse directe. Dans le cadre des migrations, nous vous recommandons de n’utiliser qu’une méthode à la fois pour une requête donnée.

Si Stripe ne reçoit pas votre réponse ou demande d’autorisation ou de refus dans les 2 secondes, l’Authorization est automatiquement approuvée ou refusée en fonction de vos paramètres d’expiration.

Remarque

Si votre solde Issuing n’est pas suffisant pour l’autorisation entrante, elle sera refusée et votre endpoint de webhook ne recevra pas l’événement issuing_authorization.request. Pour en savoir plus sur l’alimentation de votre solde Issuing, reportez-vous à cette rubrique.

Demandes d’autorisation

Lorsqu’une demande d’autorisation est envoyée à votre webhook, l’amount demandé est stocké dans le champ pending_request.

{
  "id": "iauth_1CmMk2IyNTgGDVfzFKlCm0gU",
  "object": "issuing_authorization",
  "approved": false,
  "amount": 0,
  "currency": "usd",
  "status": "pending",
  ...
  "pending_request": {
    "amount": 400,
    "currency": "usd",
    "merchant_amount": 360,
    "merchant_currency": "gbp"
  }
}

Le champ amount du haut dans la demande est défini sur 0 et approved prend la valeur false. Lorsque vous répondez à la demande, le montant total approuvé ou refusé est renseigné dans ce champ amount, le champ approved est mis à jour et la valeur du champ pending_request passe à 0.

Test des webhooks en local

Pour tester des webhooks localement, vous pouvez utiliser l’interface de ligne de commande Stripe. Après l’avoir installée, vous pouvez transférer les événements à votre serveur :

Command Line
stripe listen --forward-to localhost:4242/webhook
Ready! Your webhook signing secret is '{{WEBHOOK_SIGNING_SECRET}}' (^C to quit)

Sur un autre terminal, vous pouvez ensuite déclencher manuellement des événements issuing_authorization.request depuis la CLI pour simplifier les tests.

Command Line
stripe trigger issuing_authorization.request

En savoir plus sur la configuration des webhooks.

Autopilot Public preview

Autopilot fournit des options de secours qui vous permettent de continuer à prendre des décisions d’autorisation en temps réel lorsque vos systèmes sont en panne, ne répondent pas à une demande d’autorisation ou fournissent une réponse non valide.

Autopilot prend une décision d’autorisation en votre nom sur la base d’un ensemble de règles prédéfinies. Nous créons des objets Authorization pour la transmission afin de rapprocher les transactions Autopilot. Lorsqu’Autopilot approuve ou refuse une autorisation, la propriété request_history.reason du webhook issuing_authorization.created est webhook_error ou webhook_timeout :

webhook_error si vous répondez au webhook d’autorisation en temps réel avec une version d’API Stripe API non valide dans les en-têtes de requête, ou si nous ne pouvons pas traiter votre réponse.
webhook_timeout pour tous les autres modes échec.

Pour configurer Autopilot, contactez l’équipe Support de Stripe.

Stripe Autopilot Public preview

Stripe Autopilot peut aider les utilisateurs disposant de leur propre numéro d’identification bancaire (BIN) à prendre des décisions d’autorisation lorsque le réseau de cartes ne parvient pas à contacter Stripe.

Lorsqu’une autorisation est approuvée ou refusée via Stripe Autopilot tandis que Stripe est indisponible, la propriété request_history.reason du webhook issuing_authorization.created est network_fallback.

Pour configurer Stripe Autopilot, contactez l’équipe Support de Stripe.

Étapes de détection de la fraude Public preview

Les étapes de détection de la fraude permettent aux titulaires de carte de relancer des transactions non frauduleuses qui, sans cette fonctionnalité, auraient été bloquées.

Pour gérer les règles qui dictent quand une étape de détection de la fraude est envoyée, réajustez votre réponse au webhook issuing_authorization.request. Vous pouvez déclencher des étapes de détection de la fraude lorsque vous détectez des dépenses qui vous semblent suspectes et souhaitez effectuer une vérification supplémentaire (par exemple, lorsqu’un titulaire de carte utilise sa carte à l’étranger).

Pour ce faire, refusez le webhook issuing_authorization.request et incluez le champ send_fraud_challenges en indiquant la valeur ["sms"].

Les étapes de détection de la fraude sont actuellement limitées aux utilisateurs de la version bêta. Vous devez être un client Issuing pour accéder à la version bêta. Pour demander l’accès à la version bêta, connectez-vous à votre compte Stripe et actualisez la page. Contactez Stripe pour en savoir plus.