Обработка PayPal IPN: необходимо? Могу ли я использовать другой метод?

Question

Чтение Документации разработчиков PayPal (и это много документации), я не уверен, если IPN обязательна или я могу просто игнорировать его.

Конечно, я должен реализовать какой-то другой меканизм, чтобы знать, был ли оплата правильной. Я думал, что делать что-то вроде этого:

• Создайте новый платеж (через веб-сервис) с другим кодом в RegeturL, так и в OminanceURL. Эти коды генерируются случайным образом для каждого платежа и хранятся в БД.

• Когда пользователь заканчивает платеж (OK или KO), PayPal перенаправит свою страницу на мой сайт, и я смогу знать, правильно ли код.

• Если есть проблема (пользователь закрывает окно, ответ не приходит, коды не совпадают ...) Будут обрабатываться вручную, глядя транзакции на площадке PayPal.

Как вы думаете, это нормально?

Спасибо.

Answer 1

Нет, я думаю, что звучит ужасно.

Пользователь может пропустить шаг оплаты и просто редактируйте необходимый URL-адрес, затем вставьте его в адресную панель браузера. Это дало бы им свободный продукт.

Вы можете использовать PayPal SOAP API для проверки транзакции, как только вы получите URL. Вы просто не можете доверять этому URL вслепую второй, вы получаете его.

Вам нужно будет осторожнее, чтобы пользователи отправили вам URL-адрес какого-либо другого человека, и дважды получаете продукт для этого платежа. (Один раз на реальный получатель, один раз в мошенник ...)

Важно, чтобы вы убедились, что вам заплатили правильную сумму. (Предполагая, что вы заботитесь о том, что вам заплатили правильную сумму.)

В целом, когда вы используете интерфейс с PayPal, какой бы метод вы используете, важно, чтобы вы понимали программное обеспечение и моделирование угроз. В противном случае на самом деле есть только небольшой шанс, что вы будете защищены от мошенничества.

Answer 2

PayPal разработал их систему, чтобы быть так же логически безопасными, как они думают, могут. Я не начал перепроектировать систему, которую они провели давно развивающиеся и думая о. Вы просто игнорируете так много функций безопасности, которые есть для вашей выгоды.

Для одного, если эти две ключи всегда доступны на стороне клиента в формате RAW Format в любой точке, у вас легко взломана система. Просто нажмите на страницу платежа на PayPal, затем введите адрес возврата в браузере, не заплатив, ваша система собирается лечить его как действительной транзакции, если вы не проверяете сами, прежде чем отправлять товары (для Egoods было бы слишком поздно хоть).

Или хакер может угадать ключ возврата. Он должен быть длинным, и весьма рандомизирован, если это выравнивающий ключ, у вас снова есть супер легко взламанная система.

Для проверки платежа IPN имеет важное значение. Не принимайте ярлыки, сделайте это правильно, когда есть деньги.