Поддерживать сеанс через домен ретрансляции?

Question

Я создаю платежную страницу в asp.net, однако страница, где вы заказываете свои товары, работает в моем домене по протоколу HTTP (небезопасно).

При перенаправлении пользователя на сайт оплаты мне нужно пройти через другой домен (мой поставщик платежей, у которого я заимствую SSL-сертификат), поэтому мой URL платежа заканчивается как https://www.paymentprovider.com/somescript.cgi/www.mydomain.com/mypaymentpage.aspx

Теперь проблема в том, что мой сеанс потерян, но я сохраняю заказ в сеансе, поэтому он мне крайне необходим.

Могу ли я как-то отправить SessionID в строке запроса и восстановить из него сеанс - или мне нужно добавить весь порядок в строку запроса? (Не слишком уверен, что он подойдет, хотя это довольно долго)

Любая помощь будет высоко оценена: -)

Answer 1

Штеффен

правильный способ - использовать уникальный идентификатор заказа, который вы отправляете вместе с платежом , а затем платежный шлюз отправляет его вам .

Это не так просто, как звучит, потому что для безопасности вам нужен эфир, чтобы зашифровать orderID и отправить его и получить его в зашифрованном виде, иначе все могут видеть и изменять ваши заказы, эфир связывается с платежным шлюзом с каким-то зашифрованным протокол.

Paypal делает это так, что с вашим заказом вам необходимо отправить в PayPal уникальный идентификатор, который вы можете использовать только один раз для одной транзакции, а затем PayPal создаст базу ссылок на этот идентификатор.

Другой способ, которым вы говорите с сеансом и cookie, небезопасен, и оба могут истечь, потеряться, что угодно. Сессия в любом случае сохраняется в куки. Более длительное время сеанса может привести к тому, что все вы готовы работать, но это небезопасно и случайно для того, что когда-либо случится с сеансом или файлом cookie.

Answer 2

Почему бы вам не загрузить сеанс в файл cookie непосредственно перед перенаправлением, а когда пользователь достигнет вашей платежной области, заново создать сеанс из этого файла cookie?