Проблема потока PayPal ExpressCheckout

Question

Я внедрил PayPal ExpressCheckout на своем веб-сайте. Это работало нормально, но у меня проблема с процессом. Из того, что я понял,

1. Ваш веб-сайт получает токен, а затем перенаправляет пользователя на веб-сайт PayPal.
2. Пользователь входит в свою учетную запись Paypal. Затем он перенаправляется на ваш сайт.
3. Вы обрабатываете платеж на своем веб-сайте.

Проблема в том, что платеж действительно обрабатывается на вашем сайте. Вполне возможно, что вы берете с пользователя любую сумму, даже если он этого не знает. Разве это не ужасная проблема безопасности?

Я что-то упустил?

Answer 1

Да, вы можете указать сумму, которая будет взиматься с пользователя, но взимание с него суммы, превышающей сумму, которую вы указали, будет мошенничеством и, возможно, кражей (то есть крайне незаконным), особенно если вы предоставите квитанцию ​​и сумму квитанция не соответствует стоимости. Многие компании, выпускающие кредитные карты, имеют ограничение для крупных сборов и прекращают их, или, по крайней мере, спрашивают держателя, является ли платеж законным.

Точно так же вы можете отдать свою карточку официанту в ресторане, и он сможет снять с нее все, что захочет, прежде чем вернуть ее вам. Мошенничество с кредитными картами в оффлайне все еще распространено.

Answer 2

Вы не можете обработать токен с большей суммой, чем изначально авторизованный покупатель (есть способы обойти это, если вам нужно, с помощью ссылочных транзакций, но это не входит в сферу этого вопроса).