Security 贝宝返回URL安全

摘要：我想使用returnUrl作为交易已被PayPal接受的证明

我正在基于PayPal实现一个非常基本的购买工作流

一切都很好，用户点击pay，用户转到PayPal，PayPal将用户发送到我的returnURL。。。我接受最后一步的付款

我知道我必须实现一个IPN端点并在那里接受付款，但这个项目非常基础，我太老或太懒，无法实现所有这些异步行为，这可能是一个地狱边缘的情况

如果我能让返回URL更自信，更难伪造，那就太好了

我在想，在returnURL中可能会包含一个校验和签名，该签名基于存储在PayPal帐户和实际交易令牌中的密钥

我不知道这是否存在，我在文档中没有发现任何这方面的内容，欢迎提出任何让returnUrl更加自信的建议

---

此外，如果有人认为我完全错了，返回URL永远不会成为交易已被接受的证据，请表达你的自我。

当你只是在做返回URL时，你需要再次发布到PayPal，以使用你的PDT令牌验证交易

说您的返回URL为Thank.aspx：

“从Thanke.aspx的代码中，您将解析tx值并使用以下参数向发送HTTP POST:cmd=\u notify-synch&tx=[TransactionID]&at=[PDTIdentityToken]”

这将响应该请求是否有效

问题是这个页面不一定会被点击。用户可以关闭他们的浏览器，或者他们的互联网可能被切断，或者其他任何事情

IPN将受到PayPals服务器的冲击，你真的无法战胜这一点

设置起来很容易，但我建议阅读本文档，其中将解释PDT和IPN方法，并提供一种简单的方法来确定您需要什么

---

在完成了Express Checkout的安装后，我意识到如何利用它

尽管我正在创建一个唯一的发票号码并返回以将其标记为已付款，但我发现用户在返回链接中更改发票参数时仍然可以利用该号码。当然，已经有检查，以确保任何发票只能支付一次，但我需要使其黑客证明

因此，我最后做的是添加一些额外的检查，以确保有问题的发票是分配给该用户的最后一张发票。是的，在访问Paypal并返回后，会保留相同的会话ID。

没错，伪造返回URL不会验证交易。我已尝试，当我尝试执行此事务的快速签出时出现错误。