Многие API поставщиков способов оплаты, такие как Braintree , Stripe и т. Д. И т. Д., Предоставляют систему обратного вызова, позволяющую продавцу получать уведомление о результате транзакции.
Главный вопрос: как я могу быть защищен от злонамеренных запросов?
Предположим, что злоумышленник может воспроизвести наш открытый REST API обратного вызова (очевидно, с HTTPS), что приведет ко многим фальшивым успешным транзакциям.
Есть ли способ предотвратить это? Я прочитал о токене CRSF по ссылке Stripe, но мне неясно, как он будет безопасно передаваться между моим сайтом электронной коммерции и API провайдера.