Mobil casino uygulamalarına POLi entegrasyonu: mimari, güvenlik ve UX uygulamaları

1) Bağlam ve sınırlamalar

POLi işlevselliği: yalnızca para yatırma; Para çekme - diğer yöntemlerle (transfer bankası/kart/cüzdan).
Yargı bölgeleri:

Avustralya: POLi operasyonları durduruldu (Eylül 2023); Online casinolar/AU ikamet slotları yasaktır (IGA 2001).
Yeni Zelanda: POLi lisanslı mekanlarda mevcuttur; Mobil entegrasyon önemlidir.
Sonuç: Aşağıda, kullanıma izin verilen pazarlar için teknik bir diyagram bulunmaktadır (Yeni Zelanda ve diğer yasal yargı bölgeleri).

2) Mimari bağlantı seçenekleri

A. Yönlendirme/Barındırılan Ödeme Sayfası (HPP)

Müşteri - nakit masası bir ödeme oturumu oluşturur - bankaya (tarayıcı/uygulama bankası) yönlendirin - 'return _ url'ile iade edin - webhook/yoklama yoluyla onay.
Artıları: Minimum PCI gereksinimleri, istikrarlı model, daha az risk.
Eksileri: app-switch ve dönüş deeplink doğru işleme bağlıdır.

B. Sunucudan Sunucuya + yönlendirme (karma)

Sunucu POLi sağlayıcısından bir ödeme oluşturur, mobil istemci yalnızca bir yönlendirme başlatır; Son durum bir webhook ile birlikte gelir.
Artıları: net uzlaşma, rahat retrays, arka ucunda idempotency.
Eksileri: daha fazla sunucu mantığı.

Yönlendirmeden tam bir "saf API" pratik değildir: banka kimlik doğrulaması bir bankaya geçmeyi gerektirir.

3) Kullanıcı akışı (mobil UX)

1. Cash desk - POLi seçimi.
2. Bir tutar girin - bir ödeme oturumu oluşturun (txn\_ id, state/nonce, lifetime).
3. App-switch: Bir banka açın (veya İnternet bankası olan bir tarayıcı).
4. Banka login/2FA - transfer onayı.
5. Uygulamaya 'return _ url'/deeplink döndürün - sonuç ekranı.
6. Arka uç webhook'u alır ve depozitoyu sonuçlandırır; Müşteri, web kancası gecikmeleri durumunda 'txn _ id' (çekme onayı) durumu ister.

4) iOS özgüllüğü

Tarayıcı adımı için ASWebAuthenticationSession veya SFSafariViewController kullanın; Doğrudan WKWebView, çerezler/yönlendirmeler nedeniyle daha az uygundur.
Evrensel Bağlantılar для 'return _ url'; 'scene'de işleme (_: continue:)'.
Oturum zaman aşımları ≥ 10 dakika, arka plan modu gerekli değildir, ancak yazar kasa durumunu kaydetmek gerekir.
Banka ayrı bir uygulama olarak açılırsa, dostça bir uygulamaya dönüş komut dosyası sağlayın ve dönüşte durumu yeniden elde edin.

5) Android özgüllüğü

Web akışı için Özel Sekmeler tercih edilir; Banka uygulamaları için - niyet filtreleri ve 'return _ url' için doğrulanmış Uygulama Bağlantıları.
Sonuç işleme - deeplink-aktivite yoluyla; 'onResume ()' konumundaki durumu yeniden sorgula.
Ödeme durumunu 'Etkinlik'te saklamayın; Yapılandırma değişiklikleri geçiren ViewModel/deposunu kullanın.
Banka/uygulama kullanılamadığında sistem tarayıcısına geri dönün.

6) Entegrasyon güvenliği

TLS her yerdedir ve korumasız protokolleri yasaklar. IOS ATS/Android Ağ Güvenliği Yapılandırması - etkin.
CSRF/Replay-protection: bir kerelik 'state'/' nonce', geri dönüşte mutabakat.
Idempotency: Ödeme oluşturmak için idempotency-key; Webhook'ları yeniden işlemek güvenlidir.
Webhooks: imza, sabit giden IP (varsa), üstel duraklama ile Retray, olay\_ id ile veri tekilleştirme.
Günlükler: Banka girişlerini/OTP'yi kaydetmeyin; PII deposunu maskeleyin: 'txn _ id', yönlendirme/dönüş zamanı, durum kodları.
Root/Jailbreak sinyalleri: yumuşak bir uyarı ve iş kurallarına göre yüksek riskli işlem bloğu.
İade URL'lerinin korunması: Sağlayıcı ve uygulama tarafında 'return _ url' beyaz listesi.

7) Durum işleme ve hata direnci

Статусы: 'processing' - 'succeed'/' failed'/' unknown'.
Kullanıcı bankayı/tarayıcıyı kapattıysa - "Ödemeye devam et/Başka bir yöntem seç" ekranını gösterin.
'bilinmeyen' olduğunda: oynatıcıyı engellemeyin - siparişi bekletin, arka ucu yeniden yoklayın, webhook'u bekleyin.
Hata kodlarını standartlaştırın (banka kullanılamıyor, limit, kimlik doğrulama, kullanıcı iptali, zaman aşımı).
Kesirli onayları dikkate alın (banka kapandı, tüccar henüz güncellenmedi) - bunu UI'de açıklayın.

8) Uzlaşma ve finans

Günlük mutabakat: POLi sağlayıcısı veritabanınız ↔ raporlar ('merchant _ ref', miktar, para birimi, zaman).
"Desynchrony" için ayrı bir kuyruk; Manuel davalar - arka ofiste işleme.
"Para yatırma" bonusları için - 'başarılı' olduktan sonra tahakkuk eder; 'processing'/' unknown' - set hold.

9) UX gişe uygulamaları (önce mobil)

Görünür ilerleme çubuğu ve zamanlayıcı "Banka oturumu sona erecek"....
Düğmelerde açık bir kopya: "Bankaya git", "Onaylandı - uygulamaya geri dön".
Net miktarlar/para birimi, yönlendirmeden önce limitlerin derhal doğrulanması.
Tasarruf mevduat taslağı; Uygulama geri yüklendiğinde oturumu yeniden açın.
Kullanılabilirlik: VoiceOver/TalkBack etiketleri, yeterli kontrast, Dinamik Tip/FontScale.

10) Limitler, KYC/AML, Sorumluluk

Limitler POLi tarafından değil, banka ve operatör tarafından belirlenir; Ödemeye başlamadan önce mevcut aralığı gösterin.
KYC/AML yönteme bağlı değildir - hacim/frekans kontrolleri aynı şekilde çalışır; yüksek riskler - manuel doğrulama.
Sorumlu oyun politikası: POLi ile para yatırma/duraklatma limitleri de mevcuttur; Ödeme sırasında sınırları yönetmek için hızlı bağlantılar ekleyin.

11) Bölgesel özellikler ve phicheflags

AU: POLi'yi phicheflag/build seviyesinde devre dışı bırak; feragatnameyi göster (hizmet kullanılamıyor; Online casinolar yasaktır).
NZ: POLi'ye izin ver; Yapılandırmadan banka/limit listesini çekin (uzaktan yapılandırma).
Geofencing, para birimlerinin/formatların yerelleştirilmesi, ülkedeki tüccarların sunucu izin listeleri.

12) Test matrisi ve QA

Bankalar: Her büyük banka için ve 2FA türlerine göre (SMS, push, token) en az bir vaka.
Platformlar: iOS/Android, mevcut ana sürümler, karanlık/hafif tema, farklı yerel/diller.
Arıza senaryoları: banka iptali, süresi dolmuş oturum, ağ sonu, kapanış web görünümü, yanlış deeplink, tekrarlanan webhook.
Yük: yoğun saatler, webhook gecikmeleri, kitlesel geri ödemeler.

13) İzleme ve işletim sistemi

Metrikler: Nakit dönüşümü, TO "Bankaya git", ortalama "fonlama süresi", "bilinmeyen" payı, webhook retrays sıklığı, banka başarısızlığı nedenleri.
Uyarılar: Webhook zaman aşımı, 'başarısız' dalgalanma bir seferde olabilir, 'bilinmeyen'> eşik artış.
Olay runbook: yöntemlerin önceliğini değiştirme, kullanıcıları bilgilendirme, durumların zorla yoklama, post-mortem.

14) Entegrasyonun yapmadığı şey

Para çekme eklemiyor.
Bankanın veya işletmecinin limitlerini aşmaz.
KYC/AML prosedürlerinin ve sorumlu oyunun yerini almaz.

Sonuç

Mobil uygulamalara POLi entegrasyonu, doğru uygulama anahtarı, geri dönüş derinliğinin güvenilir bir şekilde işlenmesi, webhook'lar aracılığıyla onay ve sıkı idempotency ile güvenli yönlendirme/HPP etrafında oluşturulmuştur. İstikrarın anahtarı şeffaf statüler, dostça kurtarma senaryoları ve tam teşekküllü uzlaşmadır. Avustralya'da, POLi kullanılamıyor ve çevrimiçi slotlar için geçerli değil; Yeni Zelanda'da, yöntem çalışmaya devam ediyor ve kullanıcılara doğru teknik ve yasal ayarlarla hızlı para yatırma olanağı sunuyor.