如果您無法通過雲驗證付款,如何在雲中安全保存訂單?
[英]How do you securely save an order in the cloud, if you can't verify payment from the cloud?
問題描述
我正在開發一個移動票務銷售應用程序。 該系統允許用戶使用第三方API(CardIO)支付項目費用,將所有信息保存到我的服務器,快樂地坐在雲端。
問題歸結為:因為(1)付款流程完全在手機上發生,並且(2)沒有API允許我的服務器與付款處理器核實付款實際發生,我不知道如何最好在我的服務器上的數據庫中將其標記為已支付之前,驗證用戶是否確實已支付了該項目的費用。
您看,用戶可以手動關注我的api呼叫,登錄他們的帳戶,然后將命令發送到我的服務器,將購買標記為付款而無需支付該項目。
所以問題是:我如何驗證付款是在我的服務器上進行的,還是通過移動應用程序進行某種握手或加密?
我目前的方法:我通過SSL(HTTPS)調用向服務器發送所需的純文本信息。 除此之外,我發送該字符串的散列並驗證在我的服務器上使用相同的算法,發送的字符串與發送的散列相匹配。 我想,我可以使用某種秘密密鑰來生成此哈希,然后驗證純文本與服務器端的哈希值匹配,以確保沒有任何更改。 我對這個解決方案的問題是,我認為它不是那么安全......有人可以,而不是輕易破解算法,因為它們被賦予加密和純文本。
謝謝你的期待!
斯蒂芬
2 個解決方案
解決方案1
6 已采納 2012-07-01 21:23:12
簡短的回答是你不能相信客戶,期間。 隨心所欲地抓住它 - 這無法構建交易信息。
如果您的支付處理器沒有您可以信賴的API,那么您需要一個更好的API ...它可以立即和將來解決您的問題。
解決方案2
0 2012-07-01 21:15:10
移動電話應掃描信用卡信息並將其發送到您的服務器,服務器應該是執行支付過程的服務器
如何驗證來自 HTTP 請求的 Google Cloud Task 令牌?
[英]How do I verify a Google Cloud Task token from an HTTP request?
您如何驗證用戶嘗試注冊的電子郵件未被占用? [php 和 mySQL]
[英]How do you verify that an email that a user tried to register with isn't already taken? [php and mySQL]
如何安全地將購物籃訂單和付款信息發送到 PHP 中的 PayPal?
[英]How to securely send basket order and payment information to PayPal in PHP?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.