处理的PayPal互穿网络:是的有必要吗？我可以使用另一种方法吗？

Question

阅读的PayPal开发文件(而这是很多的文件)我不知道，如果互穿网络是强制性的或者我可以忽略它。

当然，我必须实施一些其他机制，以便知道如果付款是正确的。我想做这样的事情：

• 创建一个新的付款(通过网页服务)与不同的代码在两returnUrl和cancelUrl.这个代码是随机产生的每一个付款和存储在数据库。

• 当用户完成付款(确定或KO)，将其网页到我的站点我就能知道如果代码是正确的。

• 如果有一个问题，(户关闭窗口，反应并不抵达码不匹配...)将手工处理的交易贝宝的网站。

你觉得是这个好吗？

谢谢。

Answer 1

不，我觉得这听起来太可怕了。

用户可以跳过支付的步骤和简单的编辑在一起你需要的网址，然后贴到浏览器的地址栏。这会给他们免费的产品。

你可以使用的PayPal肥皂Api验证交易一旦收到该网址。你只是不能相信那个网址盲目的第二你会收到它。

你只需要小心不要让用户发送你的URL的一些其他人的付款，并收到该产品的两倍，为此付款。(一旦到实收款，一次欺诈者...)

重要的是，你确认你是付费的正确金额。(假设你在意你们支付正确的数额。)

在一般情况下，当你接口与贝宝，无论您使用的方法，重要的是你明白的软件安全和威胁建模。否则，实在是只有一个小的机会你会安全离欺诈行为。

Answer 2

贝宝设计了他们的系统被作为逻辑上的安全，因为他们认为可以。我不会开始重新设计一个系统，他们已经花了很长时间的发展中和思考。你只是忽略了这么多安全特点是没有为了你的利益。

对于一个如果那两把钥匙都没有线电视、休息区以及微波炉。在原始格式客户端的任何一点，你有一个很容易容易被破解系统。只需点击过来宝付款页，那么类型的回返地址浏览器而实际上支付系统是要把它作为一个有效的交易，除非你手动检查自己之前发运货物(用于egoods它将是太晚了不过).

或黑客可以猜测返回的关键。这将有很长，并且高度的随机的，如果它是增加关键你再有一个超轻松容易被破解系统。

为核实一项付款互穿网络是必不可少的。不要走捷径，这样做的权利，当有涉及金钱。