Как сделать безопасный платеж Rails PayPal?

Question

Я использую это руководство https://launchschool.com/blog/basic-paypal-checkout-processing-in-rails, чтобы перенаправить пользователя на специальную страницу PayPal с помощью простого запроса на получение.

Затем веб-сайт будет ждать ответа PayPal на специальной странице перехвата, чтобы позволить пользователю получить егогруз.Но ответ PayPal - это всего лишь простой почтовый запрос, как убедиться, что это реальный ответ PayPal, а не поддельный запрос от стороннего приложения с такими же параметрами?

РЕШЕНО

Необходим дополнительный уровень логики.Когда PayPal отправляет почтовый запрос нашему обработчику перехвата, мы должны отправить его по специальному адресу проверки в соответствии с документацией https://developer.paypal.com/docs/classic/ipn/integration-guide/IPNImplementation/

Если он отвечает «ПРОВЕРЕНО» - мы можем продолжить обработку запроса

Answer 1

Когда упоминается return_url, речь идет о Передача платежных данных (PDT) .

Когда речь идет о notification_url, речь идет о Уведомлении о мгновенном платеже (IPN) .

Они оба похожи в том, что вы отправите запрос POST обратно в PayPalв целях проверки.Если данные на самом деле были получены от них, вы получите проверенный результат обратно.Если нет, то это будет НЕВЕРНО.

Если пример кода, включенный в это руководство, не включает в себя этот обратный вызов, то это не полное руководство (и упущение важной части головоломки.)

Подробная информация об этой процедуре доступна в документах, указанных выше.