如果您在服务器上使用他们的SDK，Paypal REST真的符合PCI吗？可能的客户解决方案？

Question

我一直在乱搞贝宝的Payflow Pro和REST API，他们提供。我目前正在开发一个.NET MVC Visual解决方案，它有自己的购物车。因为所有的PCI遵从性问题，似乎最安全的路由(唯一的路由？)就是使用AJAX将所有安全数据直接发布到paypal。对我来说，这意味着直接用jQuery AJAX发布所有cc #s、安全代码、exp日期等等。没有什么安全的东西会击中我的服务器，因为它是直接从客户端到贝宝。这也意味着我将无法使用Paypal的SDK，因为大部分内容将在客户端处理。至少我认为是这样的。

这是我的计划，如果我错了，请评论/纠正我。

1. 用户决定“结帐”并完成销售(在将发货、计费、CC#等输入到一个或多个表单后)。
2. 用户提交表单，我需要从Paypal请求一个安全令牌，然后提交付款请求。为此，我将在服务器上使用AJAX方法。服务器方法创建幕后请求(以及Fiddler不可嗅探等)。对于auth令牌(将授权头中的ClientID和秘密发送给oauth2/ token )。在响应中返回安全令牌。AJAX请求将此时间敏感令牌传回客户端。
3. 直接向Paypal的请求是动态创建的(使用Bearer和其他必需的json属性添加授权标头-意图、支付者、funding_instruments等)。
4. 此直接请求的响应包含批准状态。客户端显示支付状态，其他AJAX方法在服务器上记录审核跟踪审批的详细信息。

因此，从我上面所描述的，很少，如果有的话，使用贝宝的SDK。我不能在客户机上使用它，并且对初始安全令牌的请求是非常直接的(这帮助了我，尽管我的做法有点不同：令牌请求详细信息 )。请求体的动态json可能很难构建，但除此之外，我不认为这是一件很重要的事情(除了花费时间来正确处理它)。

有人看到我在这里尝试的东西有什么问题吗？

Answer 1

最重要的是，依赖客户端提供您的服务器事务/支付特定数据(Paypal对#4中客户端脚本的响应)。

• 我想您可以在您的终端添加一个服务器端验证步骤，这样您就可以验证什么本质上是“客户端提供的信息”(不受信任)。
• 客户端错误呢？您可能需要为所有事务添加更多的检查，以便与Paypal“同步”(webhooks?)

除非由贝宝公司纠正，否则我不确定“透明重定向”(我认为你想要的)是否在REST API...or中，我错过了它，事实上，这就是你想要达到的目标(在PCI遵从性方面，这是另一种方式--在那个btw :上是值得称赞的)。

也就是说，他们确实有经典API中的透明重定向。

我还没有特别使用Paypal的透明重定向(其他提供商)，但是如果您的目标是最小化PCI问题，也许这是实现目标的更好方法。

简而言之，您将得到一个标记，您的HTML将与支付者数据一起直接提交给提供者(永远不会访问您的服务器)。然后，提供者将处理请求，并将用户的浏览器http redirect返回到您预定义的URL。然后，该预定义的URL将从提供程序获得结果。

在这个流程中，用户并不真正“知道”他们离开了您的网站(也称为“透明重定向”)。

嗯..。