Question

Многие API поставщиков способов оплаты, такие как Braintree , Stripe и т. Д. И т. Д., Предоставляют систему обратного вызова, позволяющую продавцу получать уведомление о результате транзакции.

Главный вопрос: как я могу быть защищен от злонамеренных запросов?

Предположим, что злоумышленник может воспроизвести наш открытый REST API обратного вызова (очевидно, с HTTPS), что приведет ко многим фальшивым успешным транзакциям.

Есть ли способ предотвратить это? Я прочитал о токене CRSF по ссылке Stripe, но мне неясно, как он будет безопасно передаваться между моим сайтом электронной коммерции и API провайдера.

wsw · Answer 1 · 09 мая 2019

Система обратного вызова Stripe называется webhooks (https://stripe.com/docs/webhooks) Чтобы предотвратить потенциальные атаки, Stripe отправит содержимое обратного вызова вместе с подписью. Подпись представляет собой (HAMC SHA256) хэш содержимого обратного вызова с отметкой времени и секретом webhook. Вы можете проверить подпись (https://stripe.com/docs/webhooks/signatures), чтобы убедиться, что данные действительно отправляются с Stripe.

API внешнего метода оплаты - работа с безопасностью обратного вызова

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

API внешнего метода оплаты - работа с безопасностью обратного вызова

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы