欺骗Paypal托管页面静默帖子

Question

我正在建立一个使用PayPal托管页面的注册系统。据我所知，我可以使用Silent POST功能让我的应用程序知道在托管的结帐页面上发生了成功的事务。我担心有可能伪造这个POST请求并操纵我的应用程序，使其认为事务是成功的。

示例：

当用户结帐时，他们会被重定向到一个URL，比如

https://payflowlink.paypal.com/?MODE=TEST&SECURETOKENID=XXX&SECURETOKEN=YYY

他们可以复制XXX和YYY，并使用像cURL这样的应用程序向我的应用程序端点发送POST请求，从而误认为有成功的事务。

有没有安全地处理静默POST请求的首选方法来防止这种情况？有没有更好的方法来通知我的应用程序交易成功了？

Answer 1

您可以使用userid/和匹配的安全密钥以及日期戳，这样，对于给定的时间范围(通常是几分钟)，只能使用随机生成的安全密钥和用户id……