معالجة PayPal IPN: هل ضروري؟ هل يمكنني استخدام طريقة أخرى؟
https://stackoverflow.com/questions/3459919
-
27-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
قراءة وثائق مطور PayPal (وهذا كثير من الوثائق) لست متأكدًا مما إذا كان IPN إلزاميًا أو يمكنني ببساطة تجاهله.
بالطبع ، يجب أن أقوم بتنفيذ بعض mecanism الأخرى من أجل معرفة ما إذا كانت الدفعة صحيحة. فكرت في فعل شيء مثل هذا:
قم بإنشاء دفعة جديدة (عبر خدمة الويب) برمز مختلف في كل من Returnurl و CancelUrl. يتم إنشاء هذه الرموز بشكل عشوائي لكل دفعة وتخزينها في ديسيبل.
عندما ينتهي المستخدم من الدفع (OK أو KO) ، ستقوم PayPal بإعادة توجيه صفحتها إلى موقعي وسأتمكن من معرفة ما إذا كان الرمز صحيحًا.
إذا كانت هناك مشكلة (يغلق المستخدم نافذة ، لا تصل الاستجابة ، فسيتم معالجة الرموز ...) يدويًا يبحث يدويًا المعاملات على موقع PayPal.
هل تعتقد هل هذا جيد؟
شكرًا.
المحلول
لا ، أعتقد أن هذا يبدو فظيعًا.
يمكن للمستخدم تخطي خطوة الدفع وتحرير عنوان URL المطلوب معًا ، ثم الصق في شريط عنوان المتصفح. من شأنه أن يمنحهم منتجًا مجانيًا.
يمكنك استخدام واجهات برمجة تطبيقات SOAP PayPal للتحقق من المعاملة بمجرد تلقي عنوان URL. أنت فقط لا تستطيع أن تثق في أن عنوان URL عمياء في الثانية التي تلقيتها.
ستحتاج إلى توخي الحذر من عدم السماح للمستخدمين بإرسال عنوان URL الخاص بك لدفع شخص آخر ، وتلقي المنتج مرتين لهذا الدفع. (مرة واحدة إلى Real Padeee ، مرة واحدة للاحتيال ...)
من المهم أن تتحقق من دفعك للمبلغ الصحيح. (على افتراض أنك تهتم بأنك قد دفعت المبلغ الصحيح.)
بشكل عام ، عندما تتفاعل مع PayPal ، أيا كان الطريقة التي تستخدمها ، من المهم أن تفهم أمان البرامج ونمذجة التهديد. خلاف ذلك ، لا يوجد سوى فرصة صغيرة لأنك ستكون آمنًا من الاحتيال.
نصائح أخرى
صمم PayPal نظامهم ليكون آمنًا منطقيًا كما يعتقدون. لن أبدأ في إعادة تصميم نظام قضوا وقتًا طويلاً في التطور والتفكير. تتجاهل فقط العديد من ميزات الأمان الموجودة لصالحك.
لأحدهما إذا كان هذان المفتاحان من أي وقت مضى الوصول إلى جانب عميل التنسيق الخام في أي وقت ، يكون لديك نظام يمكن اختراقه بسهولة. ما عليك سوى النقر فوق صفحة الدفع إلى PayPal ، ثم اكتب عنوان الإرجاع في متصفحك دون أن تدفع فعليًا ، سيعامل نظامك على أنه معاملة صالحة ما لم تتحقق يدويًا عن نفسك قبل إرسال البضائع (بالنسبة إلى Egoods ، سيكون الوقت قد فات الأوان على أية حال).
أو يمكن للقراصنة تخمين مفتاح العودة. يجب أن يكون طويلًا وعشوائيًا للغاية ، إذا كان مفتاحًا متزايدًا ، فستكون لديك نظامًا قابلاً للاختراق بسهولة.
للتحقق من الدفع IPN ضروري. لا تأخذ اختصارات ، افعل ذلك بشكل صحيح عندما يكون هناك أموال متورطة.
