Подтвердить, что вызов IPN поступил от PayPal?

Question

Как я могу проверить, что запрос PayPal IPN POST на мой указанный notifyURL действительно исходит от PayPal?

Я не имею в виду сравнение данных с тем, что я отправил ранее, но как я могу убедиться, что сервер / IP-адрес, с которого поступает этот запрос PayPal, действительно действительный?

Answer 1

Протокол IPN состоит из трех этапов:

1. PayPal отправляет слушателю IPN сообщение, уведомляющее вас о событии
2. Ваш слушатель отправляет полное неизмененное сообщение обратнов PayPal;сообщение должно содержать те же поля в том же порядке и быть закодировано так же, как и исходное сообщение
3. PayPal отправляет обратно одно слово, которое либо ПРОВЕРЯЕТСЯ, если сообщение отправлено с PayPal, либо ИНВАЛИД, если имеетсялюбое несоответствие с тем, что было отправлено

https://cms.paypal.com/us/cgi-bin/?cmd=_render-content&content_ID=developer/e_howto_admin_IPNIntro

Answer 2

Это самый простой способ сделать это, как я полагаю, согласно PayPal.Я использую http_build_query () для создания URL-адреса из сообщения, отправленного на сайт из PayPal.Paypal docs заявляет, что вы должны отправить это обратно для проверки, и это то, что мы делаем с file_get_contents.вы заметите, что я использую strstr, чтобы проверить, присутствует ли слово «VERIFIED», и поэтому мы продолжим работу, если нет, мы вернем false…

Answer 3

HTTP-заголовок Теперь требуется User-Agent!

$vrf = file_get_contents('https://www.paypal.com/cgi-bin/webscr?cmd=_notify-validate', false, stream_context_create(array(
    'http' => array(
        'header'  => "Content-type: application/x-www-form-urlencoded\r\nUser-Agent: MyAPP 1.0\r\n",
        'method'  => 'POST',
        'content' => http_build_query($_POST)
    )
)));

if ( $vrf == 'VERIFIED' ) {
    // Check that the payment_status is Completed
    // Check that txn_id has not been previously processed
    // Check that receiver_email is your Primary PayPal email
    // Check that payment_amount/payment_currency are correct
    // process payment
}

Answer 4

https://gist.github.com/mrded/a596b0d005e84bc27bad

function paypal_is_transaction_valid($data) {
  $context = stream_context_create(array(
    'http' => array(
      'header'  => "Content-type: application/x-www-form-urlencoded\r\n",
      'method'  => 'POST',
      'content' => http_build_query($data),
    ),
  ));
  $content = file_get_contents('https://www.sandbox.paypal.com/cgi-bin/webscr?cmd=_notify-validate', false, $context);

  return (bool) strstr($content, 'VERIFIED');
}

Answer 5

Если я правильно помню, PayPal использует статический IP-адрес для своих вызовов IPN.

Таким образом, проверка правильного IP-адреса должна работать.

альтернативно, вы можете использовать gethostbyaddr или gethostbyname.

Answer 6

Это что я использую :

if (preg_match('~^(?:.+[.])?paypal[.]com$~', gethostbyaddr($_SERVER['REMOTE_ADDR'])) > 0)
{
    // came from paypal.com (unless your server got r00ted)
}