PayPal结账前端和后端通信安全

Question

我想在我的web应用程序上使用Paypal。我使用ReactJS作为前端，Spring boot作为后端。事情是，我成功地连接前端到贝宝和贝宝是能够确认我的付款回状态和交易号。

然而，在我收到关于付款的确认后，我需要执行某个操作，这涉及到在后端发送一些东西。但我担心这些行动的安全方面。因为如果有人只是在我的API上张贴请求，甚至没有与Paypal进行交易怎么办？

我的第一个想法是发送一个请求到贝宝，然后在确认和交易ID发送交易ID在后端和后端调用贝宝的交易API和查询给定的交易API，所以我有交易存在的确认，然而，贝宝的交易API有一个巨大的延迟，我不能在几分钟内，所以我不知道我应该做什么。

我想让它完全自动，这样用户就可以立即得到响应，并可以使用他购买的服务。在我看来，我唯一的选择是手动检查付款，如果付款有效，则手动执行这些操作。

有没有关于如何做到这一点的最佳实践或任何想法？或者，有没有一种方法可以确保我的API将使用来自前端的请求？

非常感谢。

Answer 1

使用服务器端集成。创建两个路由，一个用于“创建订单”，另一个用于“捕获订单”，documented here。这些路由应该只返回JSON数据。

将这两条路由与以下审批流配对：https://developer.paypal.com/demo/checkout/#/pattern/server

当您在服务器上执行捕获操作时，请验证捕获是否成功，金额是否正确，以及是否存在PayPal交易ID，然后将其存储在数据库中以进行记帐/退款。并使用指示成功的JSON响应客户端，或者将任何错误传播给它。