Реалізація серверного Webhook для подій підписки (renewal, cancel, refund)
Webhook від Stripe, App Store або Google Play — це HTTP POST на ваш сервер з JSON про те, що сталося з підпискою. Звучить просто. На практиці — це найбільш уразливе місце підписочної системи: события приходять у довільному порядку, дублюються, втрачаються, а деякі вимагають відповіді протягом 5 секунд або будуть повторені.
Ідемпотентність: перше, що потрібно вирішити
Stripe може надіслати одну подію кілька разів — якщо ваш endpoint ответив з затримкою або вернув 500. Обробляти invoice.payment_succeeded дважди — значить дважды продовжити підписку, дважды надіслати спасибо. Рішення — зберігати оброблені event.id:
def handle_stripe_webhook(event_id: str, event_type: str, event_data: dict):
# Перевіряємо ідемпотентність
if db.is_event_processed(event_id):
return # вже обробили
# Обробляємо
process_event(event_type, event_data)
# Відмічаємо як оброблене
db.mark_event_processed(event_id, processed_at=datetime.utcnow())
Зберігати оброблені ID достатньо 30 днів — Stripe гарантує повторы лише протягом кількох днів.
Верифікація підпису: обов'язково
Ніколи не обробляйте webhook без перевірки підпису. Зловмисник може надіслати фіктивну подію invoice.payment_succeeded та отримати доступ без оплати.
import stripe
from fastapi import Request, HTTPException
STRIPE_WEBHOOK_SECRET = "whsec_..."
@app.post("/webhooks/stripe")
async def stripe_webhook(request: Request):
payload = await request.body()
sig_header = request.headers.get("stripe-signature")
try:
event = stripe.Webhook.construct_event(
payload, sig_header, STRIPE_WEBHOOK_SECRET
)
except stripe.error.SignatureVerificationError as e:
raise HTTPException(status_code=400, detail=str(e))
# Обробляємо асинхронно — повертаємо 200 відразу
background_tasks.add_task(process_stripe_event, event)
return {"status": "ok"}
Важливо: повертайте HTTP 200 відразу, до завершення обробки. Stripe вважає webhook неудачним, якщо відповідь не отримана за 30 секунд. Обробка повинна йти в фоні.
Карта подій: що робити при кожній
async def process_stripe_event(event: dict):
event_type = event['type']
data = event['data']['object']
match event_type:
case 'invoice.payment_succeeded':
# Підписка продовжена — оновлюємо період доступу
subscription_id = data['subscription']
period_end = data['lines']['data'][0]['period']['end']
db.extend_subscription(
subscription_id=subscription_id,
access_until=datetime.fromtimestamp(period_end)
)
analytics.track('subscription_renewed', {'subscription_id': subscription_id})
case 'invoice.payment_failed':
# Обрабативатиме retry-логікою
handle_payment_failure(data['subscription'], data.get('last_payment_error'))
case 'customer.subscription.deleted':
# Скасування: користувач скасував або виснажені retry
reason = data.get('cancellation_details', {}).get('reason')
db.deactivate_subscription(data['id'], reason=reason)
if reason == 'payment_failed':
notify_subscription_expired_payment(data['customer'])
else:
notify_subscription_cancelled(data['customer'])
case 'customer.subscription.updated':
# Зміна плану, зміна періоду, reactivation
if data['status'] == 'active' and data.get('pause_collection') is None:
db.reactivate_subscription_if_paused(data['id'])
case 'charge.refunded':
# Повернення коштів
charge_id = data['id']
amount_refunded = data['amount_refunded']
reason = data.get('refund_reason')
db.record_refund(charge_id, amount_refunded, reason)
revoke_access_if_full_refund(data)
App Store Server Notifications (iOS)
Apple використовує JWT-підписані сповіщення версії 2. Верифікація через публічний ключ Apple:
from appstoreconnect import AppStoreServerNotificationsClient
@app.post("/webhooks/apple")
async def apple_webhook(request: Request):
body = await request.json()
signed_payload = body.get("signedPayload")
client = AppStoreServerNotificationsClient()
try:
notification = client.decode_notification(signed_payload)
except Exception:
raise HTTPException(400)
notification_type = notification.notificationType
subtype = notification.subtype
transaction_info = notification.data.signedTransactionInfo
match notification_type:
case "DID_RENEW":
extend_ios_subscription(transaction_info)
case "EXPIRED":
deactivate_ios_subscription(transaction_info, reason=subtype)
case "REFUND":
handle_ios_refund(transaction_info)
case "GRACE_PERIOD_EXPIRED":
hard_deactivate_ios_subscription(transaction_info)
Google Play Real-time Developer Notifications (Android)
Google Play надсилає сповіщення через Cloud Pub/Sub, не через HTTP webhook:
from google.cloud import pubsub_v1
import base64
def process_pubsub_message(message: pubsub_v1.types.ReceivedMessage):
data = json.loads(base64.b64decode(message.message.data))
if 'subscriptionNotification' in data:
notification = data['subscriptionNotification']
notification_type = notification['notificationType']
purchase_token = notification['purchaseToken']
# Верифікуємо через Google Play Developer API
purchase = google_play_client.purchases().subscriptions().get(
packageName=PACKAGE_NAME,
subscriptionId=notification['subscriptionId'],
token=purchase_token
).execute()
match notification_type:
case 4: # SUBSCRIPTION_PURCHASED
activate_android_subscription(purchase_token, purchase)
case 2: # SUBSCRIPTION_RENEWED
extend_android_subscription(purchase_token, purchase)
case 3: # SUBSCRIPTION_CANCELED
mark_android_subscription_cancelled(purchase_token)
case 13: # SUBSCRIPTION_EXPIRED
deactivate_android_subscription(purchase_token)
Порядок подій: іноді cancel приходить раніше renewal
Особливість App Store: EXPIRED може прийти за секунди до DID_RENEW при успішному продовженні в останній момент. Якщо ви заблокували доступ по EXPIRED — потрібно негайно відновити по DID_RENEW. Стан підписки повинен визначатися не лише webhook-событіями, але й верифікацією receipt на серверах Apple/Google.
Тривалість
3–5 днів. Stripe webhook з ідемпотентністю та повним набором подій — 1,5 дня. App Store Server Notifications v2 — 1 день. Google Play Pub/Sub — 1 день. Інтеграційне тестування всіх сценаріїв — 0,5–1 день. Вартість розраховується індивідуально.