PAY.JPのクレジットカード入力フォームを使うと、サービス提供事業者はクレジットカード番号に触れることなく決済機能が提供できるようになります。クレジットカード番号は万一悪意を持ったユーザに盗み取られたりすると大きな事業リスクになります。そのため、カード番号にそもそも触れることがなければ安心です。

そんなカード番号入力フォームは次のような簡単なJavaScriptタグで導入できます。以下の情報はすべて必須です。 data-key にはPAY.JPの管理画面で取得できる公開鍵を指定してください。

<script
  type="text/javascript"
  src="https://checkout.pay.jp/"
  class="payjp-button"
  data-key="YOUR_PUBLIC_KEY"
></script>

そしてWebブラウザでアクセスすると以下のようなボタンが表示されます。

しかしこれだけではありません。オプションとして様々なカスタマイズができます。今回はそれぞれのオプションについて紹介します。

PAY ID支払いに対応する

PAY.JPではクレジットカード支払いだけでなく、PAY IDを使った決済にも対応しています。この場合、 data-payjp を指定します。値は PAY IDの管理画面で取得できるOAuthクライアントIDを指定します。

<script
  type="text/javascript"
  src="https://checkout.pay.jp/"
  class="payjp-button"
  data-payjp=""
  data-key="YOUR_PUBLIC_KEY"
></script>

指定すると、以下のようにクレジットカード入力フォームにてPAY IDが選択できるようになります。

すぐにフォーム送信しないようにする

デフォルトの動作ではクレジットカード番号を入力した後、すぐに提供サービスに対するフォーム送信が行われます。しかし確認画面につなげたい、もう一段階入力内容がある、といったケースもあるでしょう。そうした時に使えるのが data-partial です。

data-partial を true に指定すると、フォーム送信が行われずにクレジットカード番号を入力したモーダルが閉じるだけで終わります。

<script
  type="text/javascript"
  src="https://checkout.pay.jp/"
  class="payjp-button"
  data-key="YOUR_PUBLIC_KEY"
  data-partial="true"
></script>

data-partial を true にすると、ボタンのラベルが「カードで支払う」から「カード番号を入力する」に変化します（後述のオプションで変更可能です）。

そしてクレジットカード番号を入力すると、ボタンが緑になって「カード情報入力済み」と表示されます。

ボタンのラベルを変える

ボタンのラベルはデフォルトで「カードで支払う」ですが、これを変更できます。利用するのは data-text です。以下は「カード番号の登録」というラベルに変更する例です。

<script
  type="text/javascript"
  src="https://checkout.pay.jp/"
  class="payjp-button"
  data-key="YOUR_PUBLIC_KEY"
  data-text="カード番号の登録"
></script>

クレジットカード入力フォームのボタンのラベルを変える

クレジットカード入力フォームの一番下にあるボタンのラベルも変更できます。これは `` で指定できます。

<script
  type="text/javascript"
  src="https://checkout.pay.jp/"
  class="payjp-button"
  data-key="YOUR_PUBLIC_KEY"
  data-submit-text="カード番号を登録して閉じる"
></script>

サーバに送信するパラメータ名を変更する

PAY.JPではクレジットカード情報をトークンに変換し、そのトークンを使って実際の決済処理を行いますが、このトークンは payjp-token というパラメータで取得できます。例えばPHPであれば $_POST['payjp-token'] といった形になるでしょう。しかし場合によってはこれを変更したい時もあります。その時に使うのが data-token-name になります。

例えば以下の例ではパラメータ名を nonce に変更します。

<script
  type="text/javascript"
  src="https://checkout.pay.jp/"
  class="payjp-button"
  data-key="YOUR_PUBLIC_KEY"
  data-token-name="nonce"
></script>

data-partial と組み合わせて、フォームをすぐに送信しないようにした場合で確認すると分かりやすいです。まず以下はデフォルトの場合で、HTML構造を見ると payjp-token という名前の変数で確認できます。

<div id="payjp_checkout_box">
  <input type="button" value="✔ カード情報入力済み" class="has-token">
  <input type="hidden" name="payjp-token" value="tok_95b...19c">
</div>

それが data-token-name="nonce" を指定すると次のように変化します。

<div id="payjp_checkout_box">
  <input type="button" value="✔ カード情報入力済み" class="has-token">
  <input type="hidden" name="nonce" value="tok_ca3...65b">
</div>

クレジットカード番号を登録した際にコールバックを受け取る

クレジットカード番号を登録した際に、JavaScriptで何らかの処理をしたい時もあるでしょう。そうした時には data-on-created を指定します。例えば以下の例では onCreated という関数を呼び出します。

<script
  type="text/javascript"
  src="https://checkout.pay.jp/"
  class="payjp-button"
  data-key="YOUR_PUBLIC_KEY"
  data-on-created="onCreated"
></script>

関数の一つ目の引数にカード情報が送られてきます。

function onCreated(card) {
  console.log(card);
}

この時の card の内容は次のようになります。確認画面で下4桁や有効期限を表示するといったことも可能です。

{
  "card": {
    "address_city": null, 
    "address_line1": null, 
    "address_line2": null, 
    "address_state": null, 
    "address_zip": null, 
    "address_zip_check": "unchecked", 
    "brand": "Visa", 
    "country": null, 
    "created": 1510968184, 
    "customer": null, 
    "cvc_check": "passed", 
    "exp_month": 10, 
    "exp_year": 2020, 
    "fingerprint": "e1d8225886e3a7211127df751c86787f", 
    "id": "car_98e4b31486f42f296710df14efc7", 
    "last4": "4242", 
    "livemode": false, 
    "metadata": {}, 
    "name": "ATSUSHI", 
    "object": "card"
  }, 
  "created": 1510968184, 
  "id": "tok_8f5...b66", 
  "livemode": false, 
  "object": "token", 
  "used": false
}

登録失敗した時のコールバックを受け取る

何らかのエラー（ユーザが入力フォームを閉じた場合は除きます）が発生した際にコールバックを受け取りたい場合は data-on-failed を指定します。以下の例では onFailed が呼び出されます。

<script
  type="text/javascript"
  src="https://checkout.pay.jp/"
  class="payjp-button"
  data-key="YOUR_PUBLIC_KEY"
  data-on-failed="onFailed"
></script>

この時、一つ目の引数にステータスコード、二つ目の引数にエラー内容が送られてきます。

function onFailed(status, error) {
  console.log(status);
  // -> 0
  console.log(error);
  // -> {"description": "token を取得できません"}
}

表示言語を変更する

PAY.JPのクレジットカード入力フォームは日本語と英語に対応しています。英語にする場合は data-lang を指定します。以下は英語に変更する例です。

<script
  type="text/javascript"
  src="https://checkout.pay.jp/"
  class="payjp-button"
  data-key="YOUR_PUBLIC_KEY"
  data-lang="en"
></script>

ボタンはもちろん、入力フォームのラベルもすべて英語になります。

名前のデフォルト表示（プレースホルダー）を変更する

クレジットカード入力フォームでは名前のところに「TARO YAMADA」とデフォルト表示（プレースホルダー）されています。これを変更したい場合には data-name-placeholder を指定します。

<script
  type="text/javascript"
  src="https://checkout.pay.jp/"
  class="payjp-button"
  data-key="YOUR_PUBLIC_KEY"
  data-name-placeholder="名前を英語で入力してください"
></script>

このようにPAY.JPのクレジットカード入力フォームは細かなカスタマイズができます。ぜひ皆さんのサービスに合わせて変更してください。

Checkout | PAY.JP

Webサービスというのは基本的にプル型です。クライアント側からアクセスしてはじめてデータを受け取ったり、逆に登録したりします。しかし購入が発生した時や、何からのイベントが発生したときにそれをすぐに知りたいというニーズは強くあります。

それを可能にするのがWebhookです。通常はWeb API利用側がサーバにアクセスするところを、逆にサーバからWeb API利用者側の指定するURLにアクセスしてもらう仕組みです。簡単なシーケンス図は次のようになります。

有名なところではGitHubのWebhookがあって、リポジトリへのコードプッシュがあったり、マージした時に通知を受け取れる仕組みがあります。またSlackもチャットメッセージが来た時にWebhookで通知してもらえます。同様にPAY.JPでもWebhookが用意されていますので、取引が発生したり、定期課金が作成されたタイミングなどで通知を受け取れます。

Webhook | PAY.JP

注意点として、Webhookを完全に信用するのは危険です。100%確実に届くとは言い切れません。Webhookを受け取るサーバが落ちているケースもあるでしょう。PAY.JPのWebhookでは400または500系エラーを受け取った際には3分間隔で3回までリトライしますが、それを超えると通知を行いませんので注意してください。これはWebhookをサポートするサービス全般に言えるもので、データをすべて受け取るのはWebhookではなく通常のWeb APIを用いるのが良いでしょう。

この記事ではそんなWebhookを実装するための方法を紹介します。

サーバの準備

WebhookはPAY.JPからあらかじめ指定したサーバを呼び出す仕組みです。つまりサーバはインターネット上に公開されている必要があります。クラウドなどを使ってサーバを立ち上げるのが一番良いのですが、開発時には ngrok を使うのが便利です。これは ngrok のサービスとローカルのHTTPサーバがつながり、ローカルコンピュータをインターネット上に公開できる仕組みです（厳密には違いますが、ここでは簡略化しています）。昔はダイナミックDNSで同様の仕組みが提供されていましたが、もっと手軽に使える技術になります。

今回のサンプルは Node.js + Express で作成してあります。Node.js はJavaScriptをサーバ上で実行する技術で、ExpressはNode.jsでよく使われるWebアプ リケーションフレームワークです。そして、PAY.JPで取引が発生すると /hooks が呼ばれるようになっています。コードは後で解説します。

router.post('/hooks', (req, res, next) => {
  // Webhook処理
  if (req.headers['x-payjp-webhook-token'] !== config.webhook_token) {
    // 不正なアクセス
    return res.status(401).send({});
  }
  if (req.body.type === 'charge.succeeded') {
    const charge = req.body.data;
    console.log('決済が成功しました');
    console.log(`id => ${charge.id}`);
    console.log(`card.last4e => ${charge.card.last4}`);
    console.log(`card.exp => ${charge.card.exp_year}/${charge.card.exp_month}`);
    console.log(`price => ${charge.amount}(${charge.currency})`);
  }
  res.send({});
});

設定を変更する

PAY.JPの管理画面で取得できる各種設定情報を config.json の中に記述します。config.example.json というファイルがあるので、 config.json に名前を変更してください。内容は最初、次のようになっているはずです。

{
  "public_key": "YOUR_PUBLIC_KEY",
  "secret_key": "YOUR_SECRET_KEY",
  "webhook_token": "YOUR_WEBHOOK_TOKEN"
}

これのテスト公開鍵、テスト秘密鍵をそれぞれ書き換えてください。

{
  "public_key": "pk_...e5",
  "secret_key": "sk_...24",
  "webhook_token": "whook_4a...f8"
}

次にローカルコンピュータでサーバを立ち上げます。

$ node ./bin/www

そして ngrok をインストールします。

brew install cask ngrok

インストールしたら、以下のコマンドでローカルコンピュータにインターネット上からアクセスできるようになります。

$ ngrok http 3000
ngrok by @inconshreveable                                       (Ctrl+C to quit)
                                                                                
Session Status                online                                            
Account                       Atsushi Mint Nakatsugawa (Plan: Free)             
Version                       2.2.8                                             
Region                        United States (us)                                
Web Interface                 http://127.0.0.1:4040                             
Forwarding                    http://001ca638.ngrok.io -> localhost:3000        
Forwarding                    https://001ca638.ngrok.io -> localhost:3000       
                                                                                
Connections                   ttl     opn     rt1     rt5     p50     p90       

一時的に使えるURL（今回の場合は https://001ca638.ngrok.io）ができましたので、このURL + /hooks をPAY.JPの管理画面にてWebhookするURLとして登録します。

これで準備完了です。

取引を行う

ではテストで決済を行ってみます。決済は http://localhost:3000/ でできるようになっています。アクセスすると 100円支払うという表示とボタンが'確認できるはずです。

ボタンを押すとPAY.JPのクレジットカード入力フォームが表示されます。テストのカード番号はこちらを参考にしてください。

クレジットカード番号を入力すると、 http://localhost:3000/pay が呼ばれて1000円の決済処理が行われます。決済処理が無事完了すると、次のような場面が表示されるでしょう。

Webhookが呼ばれる

そして少し待つとPAY.JPからWebhookが呼ばれます。ターミナルなどの画面に次のように表示されたら成功です。

決済が成功しました
id => ch_84970e95eb7f66e21a41a4dac60ae
card.last4e => 4242
card.exp => 2020/10
price => 1000(jpy)

Webhookの検証

WebhookのURLには特にセキュリティがありません。外部から誰でも呼べてしまうアドレスになります。そこで、呼ばれた内容が正しいことを検証する方法としてリクエストの X-Payjp-Webhook-Token ヘッダーを確認してください。この内容はPAY.JPの管理画面で確認できますので、リクエストに踏まれるヘッダーと同じものであればPAY.JPからの正当なWebhookだと確認できます。

イベントの種類

なお、PAY.JPでは以下のイベントの際にWebhookを呼び出します。詳細はこちらで確認できます。それぞれにイベント種別（type）が設定されていますので、それを見て何のイベントであるかを知ることができます。

• 支払い関係
  • 成功
  • 失敗
  • 更新
  • 返金
  • 確定
• トークン関係
  • 作成
• 顧客関係
  • 作成
  • 更新
  • 削除
  • カード作成
  • カード更新
  • カード削除
• プラン関係
  • 作成
  • 更新
  • 削除
• 定期課金
  • 作成
  • 更新
  • 削除
  • 停止
  • 再開
  • キャンセル
  • 期間更新
• 入金関係
  • 内容確定

PAY.JPから送られてきたデータを使って、チャットにメッセージを流したり、メールを送信するといった処理につなげるのも良いでしょう。前述の通り、100%の信頼性を前提にするのはお勧めしませんが、通知を使うことで業務の生産性をさらに高めることができるはずです。

Webhook | PAY.JP

PAY.JPはREST APIを使ってクレジットカード決済ができるサービスです。

PAY.JP - クレジットカード決済サービス

多数のプログラミング言語（Ruby/Java/PHP/Python/Perl/Go/Swift/Node.js）などに対してSDKを提供しています。

そんなPAY.JPのごくごく基本的なコードをRubyで書いてみます。

インストール

まずSDKをインストールします。 gem コマンドまたはGemfileを使います。ライブラリはGitHubにて公開されています（ライセンスはMIT Licenseです）。

$ gem install payjp

インストールが終わったらRubyスクリプト（今回は test.rb としています）で読み込みます。

require 'payjp'

APIキーの取得

PAY.JPでユーザ登録して、ダッシュボードに入ると設定の中にAPIキー情報があります。

今回はデモなのでテスト秘密鍵を使います。これを api_key として使います。

api_key = 'YOUR_API_KEY'

初期化

APIキーを使ってPayjpクラスを初期化します。

Payjp.api_key = api_key

カードトークンの取得

ここで処理の流れを紹介します。PAY.JPではクレジットカード番号を一旦トークン化し、そのトークンを使って決済処理を行います。通常、このトークンはテンポラリトークン（一回しか使えない有効期限付きトークン）ですが、顧客と紐付けを行うことで繰り返し使えるようになります。

このトークンの仕組みでは、クレジットカード番号自体、サービスサイト側で触らないようにするJavaScriptの仕組みを用意しております。トークンだけがサーバに送られるようになります。シーケンス図にすると次のようになります。

本記事ではこちらを使った実装を紹介します。カード番号はテストカード | PAY.JPよりピックアップしています。CVC（セキュリティコード）や有効期限は適当です。

まずHTMLのフォームに対して script タグを追加します。 YOUR_PUBLIC_KEY には公開鍵を指定してください。

<form action="/pay" method="post">
  <!-- 注文情報などの情報ここから -->
    :
  <!-- 注文情報などの情報ここまで -->
  <script src="https://checkout.pay.jp/" class="payjp-button" data-key="YOUR_PUBLIC_KEY"></script>
</form>

そしてボタンを押すとクレジットカード番号を入力するモーダルウィンドウが表示されます。

入力を完了すると、元々のフォームの送信先である /pay に対して payjp-token という名前でテンポラリトークンが送信されます。

決済処理の実行

続いてこの取得したトークンを使って決済処理を行います。これは簡単で、金額とトークンを渡すだけです。

charge = Payjp::Charge.create(
  :amount => 3500,
  :card => payjp_token, // 先ほど送られてきたテンポラリトークン
  :currency => 'jpy',
)

結果は次のように返ってきます。

{
  "id": "ch_feb4b38692995e28859c5d0c21004",
  "amount": 5000,
  "amount_refunded": 0,
  "captured": true,
  "captured_at": 1508198383,
  "card":   { /*（トークン取得時のカード情報と同じ） */ },
  "created": 1508198383,
  "currency": "jpy",
  "customer": null,
  "description": null,
  "expired_at": null,
  "failure_code": null,
  "failure_message": null,
  "livemode": false,
  "metadata": {},
  "object": "charge",
  "paid": true,
  "refund_reason": null,
  "refunded": false,
  "subscription": null
}

このレスポンスの id を使うとダッシュボードで該当する取引を探せます。

こんな感じでごく簡単に実装できます。なお、PAY.JPではクレジットカード情報をサーバから送信してトークン化することもできますが、その方式では経産省が2018年3月までにPCIDSSへ対応しなければならないと決定しており、PAY.JPでも非推奨の実装方法としております（via カード情報非保持化対応のお願い - PAY.JP Announcement）。これから実装される場合にはJavaScriptでトークンを生成する方法を採用いただくようご留意ください。