Der Umgang mit PayPal IPN: ist notwendig? Kann ich eine andere Methode verwenden?

Question

Beim Lesen PayPal Entwickler-Dokumentation (und das ist eine Menge Dokumentation) Ich bin nicht sicher, ob IPN obligatorisch ist oder ich kann es einfach ignorieren.

Natürlich habe ich einige andere mecanism um implementieren müssen wissen, ob die Zahlung korrekt war. Ich dachte, so etwas wie dies zu tun:

• Erstellen Sie eine neue Zahlung (über den Webservice) mit einem anderen Code in beiden returnUrl und cancelURL. Diese Codes werden zufällig generiert für jede Zahlung und gespeichert in DB.

• Wenn der Benutzer die Zahlung (OK oder KO) beendet, PayPal seine Seite zu meiner Website umleiten und ich in der Lage sein zu wissen, ob der Code korrekt ist.

• Wenn es ein Problem gibt (Benutzer schließt Fenster, Antwort nicht ankommt, Codes nicht übereinstimmen ...) behandelt wird manuell die Transaktionen auf PayPal-Website suchen.

Denken Sie, dies in Ordnung ist?

Danke.

Answer 1

Nein, ich denke, das klingt schrecklich.

Der Benutzer könnte die Zahlung Schritt überspringen und einfach bearbeiten gemeinsam Ihre gewünschte URL und fügen Sie sie in die Browser-Adressleiste. Das würde sie frei Produkt geben.

Sie können den PayPal SOAP-APIs verwenden, um die Transaktion zu überprüfen, wenn Sie die URL erhalten. Sie können nicht nur die URL vertrauen blind die zweite Sie es erhalten.

Sie müssen vorsichtig sein, nicht, damit die Benutzer die URL einer anderen Person, die Zahlung senden und empfangen das Produkt zweimal für diese Zahlung. (Einmal auf reale Zahlungsempfänger einmal Betrüger ...)

Es ist wichtig, dass Sie sicher, dass Sie die richtige Menge bezahlt wurden. (Vorausgesetzt, dass Sie darauf, dass Sie die richtige Menge bezahlt wurden.)

In der Regel, wenn Sie mit PayPal-Schnittstelle, welche Methode Sie verwenden, ist es wichtig, dass Sie Software-Sicherheit und Bedrohungsmodellierung verstehen. Ansonsten gibt es eigentlich nur eine kleine Chance, dass Sie vor Betrug sicher.

Answer 2

Paypal haben ihr System als logisch sichern, wie sie denken, es kann. Ich würde nicht anfangen, ein System neu zu gestalten sie eine lange Zeit zu entwickeln und darüber nachzudenken, verbracht haben. Ihr nur so viele Sicherheitsmerkmale zu ignorieren, dass es zu Ihrem Vorteil sind.

Für eine, wenn diese beiden Tasten sind je accessbile im Rohformat Client-Seite an jedem Punkt, haben Sie ein leicht hackable System. Einfach die Zahlung Seite Paypal klicken Sie sich durch, und geben Sie die Absender-Adresse in Ihrem Browser, ohne tatsächlich zu bezahlen, wird Ihr System es als eine gültige Transaktion behandeln wird, wenn Sie manuell für sich selbst überprüfen, bevor die Waren versenden (für egoods würde es zu spät sein obwohl).

oder der Hacker kann die Return-Taste erraten. Es wird lang sein haben, und sehr randomisierten, wenn es sich um ein Inkrementieren Schlüssel ist haben Sie wieder ein Super leicht hackable System.

Für eine Zahlung zu überprüfen ist IPN unerlässlich. Keine Abkürzungen nehmen, machen Sie es richtig, wenn es beteiligt Geld.