Ödeme Akışı

Paytalya entegrasyonu iki adımlı bir modeldir:

1. Sunucu tarafı (siz): POST /v1/payments ile bir ödeme isteği oluşturursunuz (tutar, terminal, returnUrl). Kart bu istekte yer almaz. Yanıtta bir paymentRef (tek-kullanımlık ödeme referansı) ve bir handoffUrl alırsınız.
2. Tarayıcı tarafı (alıcı): Alıcının tarayıcısını/WebView’ini, kartı ve paymentRef’i taşıyacak şekilde handoffUrl’e (Paytalya’nın ayrı handoff sayfası, pay.* origin) yönlendirirsiniz. 3D Secure devri, banka 3D sayfasına POST ve callback bu sayfada yürür; tamamlanınca alıcı sizin returnUrl’inize döner.

Hash üretimi, banka 3D devri, callback işleme ve tahsilat Paytalya tarafındadır. Kesin sonucu sunucu tarafında GET /v1/payments ve webhook ile alırsınız.

Kartı kendi checkout’unuzda toplarsınız

Paytalya kartı sizin yerinize toplamaz: kartı kendi checkout’unuzda toplarsınız. Topladığınız kartı + paymentRef’i Paytalya’nın ayrı handoff sayfasına (handoffUrl) iletir, banka 3D devrini bu sayfa yürütür. Merchant’a gönderdiği hazır bir link/payUrl yoktur; handoff sayfasına alıcının tarayıcısından kart + paymentRef ile geçilir. Bu sayfayı entegrasyon detayıyla Kart Handoff sayfasında anlatıyoruz.

Akış

1. Ödeme isteği oluşturma: POST /v1/payments ile tutar, terminalId ve returnUrl gönderirsiniz (kart YOK). Yanıtta paymentCode, status: initiated, paymentRef ve handoffUrl alırsınız. Bkz. Ödeme Oluştur.
2. Handoff sayfasına geçiş: alıcının tarayıcısını/WebView’ini, topladığınız kart + paymentRef ile handoffUrl’e form-POST ile gönderirsiniz. Detay: Kart Handoff.
3. 3D Secure: handoff sayfası banka 3D devrini başlatır; alıcının tarayıcısı banka 3D Secure sayfasına POST eder ve alıcı doğrulamayı tamamlar. Bu adımlar handoff sayfasında otomatik yürür; siz bir form kurmazsınız.
4. Callback + tahsilat: banka 3D sonucunu Paytalya’ya bildirir; Paytalya callback’i işler ve tahsilatı yapar.
5. Geri dönüş: handoff sayfası alıcının tarayıcısını/WebView’ini sizin returnUrl’inize 303 ile yönlendirir. returnUrl’e taşınan sonuç, istemci (tarayıcı) üzerinden geldiği için nihai/güvenilir kabul edilmemelidir.
6. Sonucu doğrulama: kesin durumu GET /v1/payments ve webhook ile öğrenirsiniz. Karar (sipariş onayı vb.) daima bu nihai sonuca dayanır.

sunucu: POST /v1/payments (KARTSIZ)  ──►  { paymentRef, handoffUrl, status: initiated }
                                                  │
tarayıcı/WebView: kart + paymentRef ──POST──►  [Paytalya handoff sayfası (pay.*)]
                                                  │  (handoff sayfası banka 3D'sine POST eder)
                                                  ▼
                                          [banka 3D Secure]
                                                  │
                              banka callback ──►  [Paytalya: callback + tahsilat]
                                                  │
                       303 (handoff sayfasından) ──►  returnUrl (sonuç nihai DEĞİL)
                                                  │
sunucu: webhook + GET /v1/payments  ──────────────►  kesin durum

Web ve mobil

Akış her iki kanalda da aynıdır; tek fark tarayıcı bağlamını nasıl yarattığınızdır:

• Web: alıcının native tarayıcısı handoffUrl’e form-POST eder; dönüşte tarayıcı returnUrl’e 303 ile navige olur.
• Mobil: merchant uygulaması kartı kendi native ekranında toplar, bir WebView açar ve kart + paymentRef ile handoffUrl’e POST eder. 3D, WebView içinde tamamlanır; sonunda WebView returnUrl’e iner.

Deep-link yok

Mobilde Paytalya tarafında mobil-özel hiçbir şey yapılmaz: standart 303 → returnUrl yeterlidir. Deep-link yoktur: merchant uygulamanız WebView navigasyonunu kendisi dinler ve returnUrl’e ulaşıldığını kendi tespit eder. WebView’de JavaScript ve çerez etkin olmalıdır (3D Secure bunlara dayanır).

Tek deneme: bir ödeme = bir kart denemesi

Bir paymentRef için 3D yalnızca bir kez başlatılabilir. Alıcı 3D’yi terk eder ya da başarısız olursa, o ödeme failed/expired olur ve paymentRef yeniden kullanılamaz. Tekrar denemek için yeni bir ödeme isteği (POST /v1/payments) oluşturursunuz: “tekrar = yeni ödeme” yaklaşımı. Detay: Kart Handoff.

Belirsiz sonuç

Bazı durumlarda tahsilat sonucu anlık olarak kesinleşmez; ödeme bir süre capture_pending (“İşlem Doğrulanıyor”) durumunda kalabilir. Bu otomatik başarısızlık değildir: Paytalya sonucu kendisi çözer ve nihai durumu webhook ile bildirir. Böyle bir ödemeyi kendiliğinden başarısız saymayın. Bkz. Ödeme Yaşam Döngüsü.

Sterillik

Ham kart verisi (kart numarası / CVV / son kullanma tarihi) yalnızca kendi checkout’unuzda ve handoff sırasında alıcının tarayıcısından taşınır. Bu veri Paytalya’nın API yanıtlarına, webhook gövdesine, sorgu sonuçlarına ya da loglarına asla geri yansımaz; yanıtlarda kart daima maskelidir (4242 42** **** 4242).

Sonraki adımlar

• Ödeme Oluştur
• Kart Handoff
• Ödeme Sorgula
• Ödeme Yaşam Döngüsü