上线检查清单

Quick Reference

WhatA55 集成的生产就绪检查清单

Why在上线前防止宕机、数据丢失和安全漏洞

Reading Time15 分钟

Difficulty中级

Prerequisites沙箱集成正常运行 → 所有测试场景通过

进度自动保存

勾选已完成的项目——您的进度会自动保存在浏览器中，无需登录。

0/23

认证0/4

• OAuth2（开放授权）令牌流程正常——client_credentials 授权模式在生产 Cognito URL 上返回有效令牌
• 令牌刷新已实现——您的代码在 3600 秒过期之前刷新令牌，而不是在收到 401 之后
• 凭证存储在环境变量中——A55_CLIENT_ID 和 A55_CLIENT_SECRET 从不硬编码在源码中
• 无硬编码密钥——在您的仓库中运行 git log -p | grep -i "client_secret" 并确认零匹配

集成0/5

• 所有端点已测试——所有 API 端点均已在沙箱中完成测试。分别使用有效和无效输入进行了验证。
• 所有代码路径都有错误处理——每个 API 调用都有 try/catch，处理 HTTP 4xx/5xx，并记录 request_id
• 指数退避重试逻辑——失败请求按 1s → 2s → 4s → 8s 延迟重试（最多 3 次），且从不重试 4xx 错误
• 所有 POST 请求都有幂等键——每次创建收款和退款都包含唯一的 Idempotency-Key 头（UUID（通用唯一标识符）v4）
• Webhook（网络钩子）URL 已配置——您的 webhook_url 已在商户配置中设置并可从互联网访问

支付方式0/3

• 所有支付方式已测试——各支付方式（信用卡、PIX、Boleto 等）均已完成端到端测试。
• 3DS（3D Secure 验证）流程已验证——如果您支持 3DS，重定向 → 挑战 → 返回流程正确运行，且您处理了所有结果
• 退款流程已测试——全额和部分退款成功，您的系统更新订单状态，并通知客户

安全0/4

• 全面使用 HTTPS——所有 API 调用使用 https://，无 HTTP 回退，强制 TLS（传输层安全协议）1.2+
• Webhook HMAC（基于哈希的消息认证码）验证——每个收到的 webhook 在处理前都使用共享密钥进行验证
• 卡数据处理已验证——确认卡数据通过 A55 的安全基础设施传输，从不存储在您的服务器上
• LGPD（巴西《通用数据保护法》）同意——您已取得用户对数据处理的知情同意，并有涵盖支付数据的隐私政策

监控0/4

• Webhook 投递监控——您跟踪 webhook 接收率，如果投递量低于预期则发出警报
• 错误率告警——如果 API 错误率在 5 分钟窗口内超过 5%，您的监控会触发告警
• 结算对账自动化——每日下载结算报告并与您的订单数据库进行对账
• 记录 request_id——每次 API 交互都记录 A55 响应中的 request_id 以便支持升级

上线0/3

• 已获取生产凭证——您已收到并配置了生产环境的 client_id、client_secret 和 Cognito URL
• DNS（域名系统）已配置——您的 webhook 端点和所有回调 URL 可解析并指向生产基础设施
• 生产收款已测试——您已在生产环境中使用真实卡完成至少一笔真实收款并验证了结算

凭证 →管理沙箱和生产凭证Webhook 概述 →配置和验证 webhook 投递常见错误 →避免 15 个最常见的集成陷阱