署名検証とセキュリティ
レシートローラーWebhookのHMAC-SHA256署名検証の仕組み、検証コードのサンプル(Node.js / Python / C#)、リプレイ攻撃対策、シークレットの安全な管理方法を解説します。
シークレットのローテーションと安全な保管
レシートローラーのクライアントシークレット・Webhookシークレットを安全に運用するためのローテーション計画、新旧並行期間の使い方、保管のベストプラクティスを解説します。
クライアントID・クライアントシークレットの管理
レシートローラーのアプリ登録時に発行されるクライアントID・クライアントシークレットの取得方法、保管ルール、漏えい時の対応、複数環境での運用を解説します。
アクセストークンの取得と更新
レシートローラーAPIで使うアクセストークンとリフレッシュトークンの取得方法、有効期限、更新手順、エラー時の対処を解説します。
トークンが取得できない(認証エラー)
アクセストークンが取得できないときの原因切り分け。invalid_client、invalid_grant、redirect_uri_mismatch などの代表的エラーと対処を解説します。
SLA・稼働率と障害時の確認手順
レシートローラーAPIの稼働率目標、ステータスページの確認方法、障害発生時の切り分け手順、サポートエスカレーションの流れを解説します。
ウォレットアプリ向け:ユーザーのレシートをOAuthで取得するガイド
iOS・Android・LINE Mini Appなどのウォレット型アプリから、ユーザーの同意のもとで Receipt Roller の購買レシートを取得する方法を解説します。OAuth 2.0認証・レシートAPI・Webhook連携をカバーします。
Webhookが届かない
Webhookが受信エンドポイントに届かないときの原因切り分け。エンドポイント設定・購読イベント・到達性・署名検証失敗・ファイアウォールなどを順に確認する手順を解説します。
開発者向けヘルプ目次
レシートローラー開発者向けヘルプ目次です。開発者申請、アプリケーション登録、OAuth認証とスコープ、実装ガイド(ウォレットアプリ・店舗向けWebhook・Survey API)、データ領域別ガイド、運用とセキュリティ、コミュニティ、トラブルシューティングまでをまとめています。
店舗向け:自社アプリでデジタルレシートを発行・Webhookで通知するガイド
店舗・ブランドが自社アプリでデジタルレシートをお客様に発行し、Webhookでリアルタイム通知を受け取るまでの手順を解説します。アプリ登録・OAuth・Webhook設定・署名検証をカバーします。
エンドポイントとバージョニング
レシートローラーAPIのベースURL、バージョニング方針、廃止予告の流れ、現行バージョンの確認方法を解説します。
Webhookの概要
レシートローラーのWebhookで配信される主要なイベント種別、ポーリングではなくWebhookを使うべき理由、配信形式(HTTPS POST + JSON)、配信保証の考え方を解説します。
再送・順序・冪等性の設計
レシートローラーWebhookの再送ポリシー、配信順序が保証されない理由、event_idを使った冪等性の実装、デッドレターの扱い、よくあるアンチパターンを解説します。
User系スコープでapp_not_approvedが返る
User系スコープを使うとapp_not_approvedエラーが返る場合の確認手順。サンドボックス枠での開発、審査申請、サンドボックス本番化の流れを解説します。
開発者ポータルでできること
レシートローラーの開発者ポータルでできることを概観します。REST APIによるデータ取得・操作、Webhookによるリアルタイムイベント受信を組み合わせて、外部システムから店舗・ユーザーデータを連携できます。
403/401が返る(権限・スコープ)
API呼び出しで401や403が返るときの原因切り分け。トークン無効・スコープ不足・店舗アクセス権なし・User系審査未通過などの典型ケースを解説します。
SNS Webhookバイパス(LINEなど外部SNSのWebhook転送)
レシートローラーがLINE等のSNSプラットフォームから受け取ったWebhookを、店舗側の同意のもとで開発者アプリへ転送する「SNS Webhookバイパス」機能の仕組み、設定方法、署名の取り扱い、注意点を解説します。
Webhookの登録方法
レシートローラーの開発者ポータルでWebhookエンドポイントを登録する手順、購読イベントの選び方、テスト配信、複数エンドポイントの使い分け、削除と一時停止の方法を解説します。