我正在使用PayPal托管页面构建注册系统。根据我的理解,我可以使用Silent POST功能让我的应用程序知道托管结帐页面上发生了成功的事务。我担心可以欺骗这个POST请求并操纵我的应用程序以认为交易成功。
示例:
当用户结帐时,他们会被重定向到类似
的网址https://payflowlink.paypal.com/?MODE=TEST&SECURETOKENID=XXX&SECURETOKEN=YYY
他们可以复制XXX和YYY并使用像cURL这样的应用程序向我的应用程序端点发送POST请求,从而想到成功的事务处理。
是否有一种安全处理静默POST请求的首选方法来阻止这种情况?是否有更好的方法通知我的申请成功交易?
答案 0 :(得分:1)
您可以使用userid /和匹配的安全密钥以及日期戳,这样,在给定的时间范围内(通常是几分钟),只能使用随机生成的安全密钥和用户ID。 。