El manejo de IPN de PayPal: es necesario? ¿Puedo usar otro método?
https://stackoverflow.com/questions/3459919
-
27-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
documentación para desarrolladores de lectura segura (y esto es una gran cantidad de documentación) No estoy seguro de si IPN es obligatoria o puedo simplemente ignorarlo.
Por supuesto, hay que aplicar alguna otra MECANISMO con el fin de saber si el pago era correcta. Pensé hacer algo como esto:
-
Crear un nuevo pago (a través de servicios web) con un código diferente, tanto en ReturnURL y CancelURL. Este códigos son generados al azar por cada pago y almacenar en el DB.
-
Cuando el usuario termina el pago (OK o KO), PayPal redirigir su página de mi sitio y será capaz de saber si el código es correcto.
-
Si hay un problema (usuario cierra la ventana, la respuesta no llega, los códigos no coinciden ...) serán manejados manualmente mirando las transacciones en PayPal sitio.
¿Cree que es esta bien?
Gracias.
Solución
No, yo creo que los sonidos horrible.
El usuario puede omitir el paso de pago y simplemente editar junto a su URL requerida, luego pegarlo en la barra de direcciones del navegador. Eso les daría producto libre.
Puede utilizar las API de SOAP de PayPal para verificar la transacción una vez que reciba la URL. Usted simplemente no puede confiar en esa URL ciegamente el segundo que lo reciba.
Usted tendrá que tener cuidado de no permitir a los usuarios que envían la dirección URL del pago de otra persona, y recibe el producto dos veces para que el pago. (Una vez al beneficiario real, una vez al defraudador ...)
Es importante que compruebe que se le pagó la cantidad correcta. (Asumiendo que importa que se le pagó la cantidad correcta.)
En general, cuando la interfaz con PayPal, cualquiera que sea el método que utilice, es importante que comprenda la seguridad del software y modelado de amenazas. De lo contrario, en realidad sólo hay una pequeña posibilidad de que sea seguro contra fraude.
Otros consejos
PayPal han diseñado su sistema que se asegure la manera más lógica, ya que creo que sí. Yo no iniciar el rediseño de un sistema que han pasado mucho tiempo en el desarrollo y pensando. Su simplemente ignorar tantas características de seguridad que están ahí para su beneficio.
Por un lado, si esas dos claves son cada vez accessbile en el lado del cliente formato en bruto en cualquier momento, usted tiene un sistema fácil de piratear. Basta con hacer clic a través de la página de pago de PayPal, a continuación, escriba la dirección de retorno en su navegador sin tener que pagar, el sistema va a tratar como una transacción válida a menos que marque manualmente por sí mismo antes de despachar las mercancías (por eGoods sería demasiado tarde sin embargo).
O el hacker puede adivinar la tecla de retorno. Se va a tener que ser larga, y muy al azar, si se trata de una clave incrementando de nuevo tener un sistema muy fácil de piratear.
Para la verificación de un pago IPN es esencial. No tome atajos, hacerlo bien cuando hay dinero en juego.
